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出 版 说 明 


由 于 网 络 应 用 越 来 越 普及 ,信息 化 的 社会 已 经 呈现 出 越 来 越 广阔 的 前 景 ,可 以 肯定 地 说 ， 
在 未 来 的 社会 中 电子 支付 ,电子 银行 ,电子 政务 以 及 多 方面 的 网 络 信息 服务 将 深入 到 人 
类 生活 的 方方面面 。 同 时 , 随 之 面临 的 信息 安全 问题 也 日 益 突出 ,非法 访问 、 信 息 窃取 、 
甚至 信息 犯罪 等 恶意 行为 导致 信息 的 严重 不 安全 。 信 息 安 全 问题 已 由 原来 的 军事 国防 
领域 扩展 到 了 整个 社会 ,因此 社会 各 界 对 信息 安全 人 才 有 强烈 的 需求 。 

信息 安全 本 科 专 业 是 2000 年 以 来 结合 我 国 特色 开设 的 新 的 本 科 专 业 ,是 计算 机 、 
通信 数学 等 领域 的 交叉 学 科 ,主要 研究 确保 信息 安全 的 科学 和 技术 。 自 专业 创办 以 
来 ,各 个 高 校 在 课程 设置 和 教材 研究 上 一 直 处 于 探索 阶段 。 但 各 高 校 由 于 本 身 专 业 设 
置 上 来 自 于 不 同 的 学 科 , 如 计算 机 、 通 信和 数学 等 ,在 课程 设置 上 也 没有 统一 的 指导 规 
范 ,在 课程 内 容 、 深 浅 程度 和 课程 衔接 上 ,存在 模糊 不 清 、 内 容重 倒 、 知 识 覆 盖 不 全 面 等 
现象 。 因 此 ,根据 信息 安全 类 专业 知识 体系 所 覆盖 的 知识 点 ,系统 地 研究 目前 信息 安全 
专业 教学 所 涉及 的 核心 技术 的 原理 、 实 践 及 其 应 用 ,合理 规划 信息 安全 专业 的 核心 课 
程 ,在 此 基础 上 提出 适合 我 国信 息 安全 专业 教学 和 人 才 培 养 的 核心 课程 的 内 容 框 架 和 
知识 体系 ,并 在 此 基础 上 设计 新 的 教学 模式 和 教学 方法 ,对 进一步 提高 国内 信息 安全 专 
业 的 教学 水 平和 质量 具有 重要 的 意义 。 

为 了 进一步 提高 国内 信息 安全 专业 课程 的 教学 水 平和 质量 ,培养 适应 社会 经 济 发 
展 需要 的 、 兼 具 研究 能 力 和 工程 能 力 的 高 质量 专业 技术 人 次 。 在 教育 部 相关 教学 指导 
委员 会 专家 的 指导 和 建议 下 ,清华 大 学 出 版 社 与 国内 多 所 重点 大 学 共同 对 我 国信 息 安 
全 人 才 培 养 的 课程 框架 和 知识 体系 ,以 及 实践 教学 内 容 进 行 了 深入 的 研究 ,并 在 该 基础 
上 形成 了 “信息 安全 人 才 需 求 与 专业 知识 体系 、 课 程 体系 的 研究 ”等 研究 报告 。 

本 系列 教材 是 在 课程 体系 的 研究 基础 上 总 结 、 完 善 而 成 ,力求 充分 体现 科学 性 、 先 
进 性 、 工 程 性 ,突出 专业 核心 课程 的 教材 ,兼顾 具有 专业 教学 特点 的 相关 基础 课程 教材 ， 
探索 具有 发 展 潜力 的 选修 课程 教材 ,满足 高 校 多 层次 教学 的 需要 。 

本 系列 教材 在 规划 过 程 中 体现 了 如 下 一 些 基 本 组 织 原 则 和 特点 。 

(1) 反映 信息 安全 学 科 的 发 展 和 专业 教育 的 改革 ,适应 社会 对 信息 安全 人 才 的 培 
养 需求 ,教材 内 容 坚持 基本 理论 的 扎实 和 清晰 ,反映 基本 理论 和 原理 的 综合 应 用 ,在 其 
基础 上 强调 工程 实践 环节 ,并 及 时 反映 教学 体系 的 调整 和 教学 内 容 的 更 新 。 

(2) 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 适应 多 样 化 的 教学 需要 ,正确 把 握 教学 
内 容 和 课程 体系 的 改革 方向 ,在 选择 教材 内 容 和 编写 体系 时 注意 体现 素质 教育 、 创 新 能 
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力 与 实践 能 力 的 培养 ,为 学 生 知识 .能力 .素质 协调 发 展 创造 条 件 。 

(3) 实施 精品 战略 ,突出 重点 。 规 划 教 材 建设 把 重点 放 在 专业 核心 (基础 ?课程 的 教材 
建设 上 ; 特别 注意 选择 并 安排 一 部 分 原来 基础 比较 好 的 优秀 教材 或 讲义 修订 再 版 ,逐步 形 
成 精品 教材 ; 提倡 并 鼓励 编写 体现 工程 型 和 应 用 型 的 专业 教学 内 容 和 课程 体系 改革 成 果 的 
教材 。 

(4) 支持 一 纲 多 本 ,合理 配套 。 专 业 核心 课 和 相关 基础 课 的 教材 要 配套 ,同一 门 课程 可 
以 有 多 本 具有 各 自 内 容 特点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 ,基本 教材 与 辅助 教材 . 教 
学 参考 书 ,文字 教材 与 软件 教材 的 关系 ,实现 教材 系列 资源 的 配套 。 

(5) 依靠 专家 ,择优 落实 。 在 制定 教材 规划 时 依靠 各 课程 专家 在 调查 研究 本 课程 教材 
建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 ,通过 申报 、 评 审 确 
定 主编 。 书 稿 完成 后 认真 实行 审 稿 程序 ,确保 出 书 质量 。 

繁荣 教材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 的 、 以 老 带 新 的 教材 
编写 队伍 才能 保证 教材 的 编写 质量 ,希望 有 志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队 
伍 中 来 。 


21 世纪 高 等 学 校 信息 安全 专业 规划 教材 
联系 人 : 魏 江 江 weijj@tup. tsinghua. edu. cn 


前 言 


信息 安全 涉及 的 知识 面 很 广 ,本 书 的 目标 是 力图 向 读者 系统 地 介绍 信息 安全 的 基本 原理 
与 技术 。 全 书 主要 由 下 面 几 个 部 分 组 成 。 

第 一 部 分 : 信息 安全 的 数学 基础 。 这 一 部 分 介绍 了 信息 安全 所 需要 的 数学 知识 ， 
包括 数论 .代数 基础 ` 计 算 复 杂 性 理论 和 单 向 函数 等 。 

第 二 部 分 : 信息 安全 的 基本 理论 与 技术 。 包 括 密码 技术 认证、 数字 签名 和 访问 控 
制 等 。 

第 三 部 分 : 信息 安全 技术 在 网 络 安全 上 的 应 用 。 这 一 部 分 重点 介绍 了 PKI 技术、 
网 络 安全 协议 。 

第 四 部 分 : 系统 安全 技术 这 一 部 分 简单 介绍 了 保障 系统 安全 的 防火 墙 技术 和 入 侵 
检测 技术 。 

信息 安全 涉及 许多 复杂 的 概念 和 技术 。 为 了 处 理 这 种 复杂 性 ,本 书 从 两 个 方面 让 
读者 "看透" 信息 安全 基本 技术 。 一 是 从 整体 上 让 读者 了 解 其 外 貌 , 从 全 局 的 角度 向 读 
者 揭示 信息 安全 研究 的 基本 内 容 和 基本 技术 ,本 书 的 章节 安排 体现 了 这 一 点 ; 二 是 在 
局 部 方面 向 读者 展示 每 一 章 应 该 学 些 什么 以 及 它们 的 作用 等 (如 导读 部 分 )。 

本 书 作者 多 年 从 事 信息 安全 课程 的 教学 和 研究 ,了 解 学 生 的 需要 ,因此 本 书 始终 从 
读者 的 角度 进行 编写 的 。 每 一 章 的 导读 部 分 介绍 了 本 章 的 知识 要 点 、 作 用 以 及 它们 之 
间 的 联系 。 在 正文 中 用 大 量 的 事例 来 帮助 读者 理解 重点 知识 和 难点 知识 。 

为 了 方便 教师 授课 ,我 们 还 专门 整理 了 本 书 的 课件 以 及 本 书 习 题 的 全 部 答案 ,可 在 
清华 大 学 出 版 社 网 站 (www. tup. com. cn) 下 载 。 

本 书 由 郭 亚军 整体 规划 和 统 稿 , 郭 亚军 编写 了 第 1.2、.3、4 章 , 宋 建华 编写 了 第 6、 
7、9、10 章 , 李 莉 编 写 了 第 5、8 章 。 本 书 在 编写 过 程 中 参考 了 国内 外 许多 文献 和 书籍 ， 
在 此 ,编者 对 原作 者 表示 真诚 的 感谢 ! 

在 本 书 的 编写 过 程 中 得 到 了 许多 同行 的 热情 帮助 和 支持 ,得 到 了 清华 大 学 出 版 社 
编辑 们 的 关心 和 帮助 ,在 此 一 并 表示 衷心 的 谢意 。 

由 于 作者 水 平 有 限 , 书 中 难免 有 不 足 之 处 , 敬 请 读者 提出 宝贵 意见 。 


作 者 
2008 年 7 月 
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本 章 导读 

名 本 章 主要 介绍 安全 攻击 、 安 全 机 制 、 安 全 服务 、 安 全 需求 和 安全 目标 ,以 及 它们 之 间 
的 关系 。 最 后 介绍 了 一 般 安全 模型 以 及 网 络 安全 协议 。 

如 安全 攻击 分 为 被 动 攻 击 和 主动 攻击 。 被 动 攻 击 的 目的 是 获得 传输 的 信息 ,不 对 信息 
作 任 何 改动 ; 主动 攻击 则 意 在 自 改 或 者 伪造 信息 。 

后 安全 机 制 是 阻止 安全 攻击 及 恢复 系统 的 机 制 。 

如 安全 服务 是 加 强 数 据 处 理 系 统 和 信息 传输 的 安全 性 的 一 种 服务 ,安全 服务 是 利用 一 
种 或 多 种 安全 机 制 阻止 安全 攻击 。 

避 用户 所 有 的 安全 要 求 的 实现 就 达到 了 用 户 的 安全 目标 ; 不 同 的 安全 服务 的 联合 能 够 
实现 不 同 的 安全 需求 。 

如 安全 问题 主要 存在 于 网 络 传 输 过 程 中 以 及 对 信息 系统 的 访问 ,本 章 给 出 了 这 两 类 安 
全 模型 。 

名 TCP/IP 参考 模型 的 安全 性 是 通过 在 各 层 增加 一 些 安 全 协议 来 实现 。 


近 十 年 来 ,信息 技术 和 信息 产业 得 到 快速 发 展 ,与 信息 技术 相关 的 各 个 学 科 和 产业 如 微 
电子 .通信 和 计算 机 科学 与 工程 等 受到 各 国政 府 、 企 业界 和 学 术 界 的 高 度 重视 。 现 代 的 信息 
系统 形式 多 种 多 样 ,除了 我 们 日 常生 活 必需 的 信息 以 外 ,还 包括 一 些 十 分 重要 的 信息 ,如 政 
府 或 企业 高 度 机 密 的 信息 、 机 构 和 个 人 的 产权 信息 等 。 如 果 信 息 系统 受到 攻击 致使 系统 瘫 
痪 甚至 骨 浊 或 者 某 些 重要 信息 被 泄露 进而 被 利用 ,会 造成 很 大 损失 。 

因特网 的 发 展 使 用 户 之 间 的 信息 交换 越 来 越 方便 ,同时 也 使 恶意 攻击 越 来 越 容 易 。 从 
国家 计算 机 网 络 应 急 技 术 处 理 协调 中 心 CCNCERTVCC)2006 年 的 网 络 安全 工作 报告 中 可 
以 发 现 , 每 年 接收 到 的 安全 事件 越 来 越 多 。2004 年 为 4485 件 ,2005 年 为 9112 件 ,2006 年 
为 26476 件 。 事件 类 型 主要 有 网 络 仿 冒 、 网 页 算 改 、 网 页 恶意 代码 .拒绝 服务 攻击 、 病 毒 、 木 
马 和 蠕虫 等 。2006 年 我 国 大 陆地 区 约 4. 5 万 个 IP 地 址 的 主机 被 植 和 人 木马 ; 约 1 千 多 万 个 
IP 地 址 的 主机 被 植 和 人 僵尸 程序 ; 大 陆 被 算 改 网 站 总 数 达 到 24477 个 。 现 在 的 攻击 具有 一 些 
更 可 怕 特 征 , 如 发 动 攻击 所 需要 的 技能 越 来 越 低 , 检 测 攻击 越 来 越 复 杂 ,攻击 的 破坏 性 也 越 
来 越 大 。 因 此 ,需要 大 量 的 技术 和 工具 来 抵抗 这 些 攻击 。 

信息 安全 主要 研究 能 够 抵抗 各 种 攻击 的 技术 。 在 过 去 的 几 十 年 里 ,信息 安全 经 历 了 几 
个 阶段 ,每 个 阶段 的 侧重 点 不 同 , 但 本 质 一 致 。 计 算 机 出 现 之 前 ,主要 靠 物 理 安全 和 管理 政 
策 保护 信息 的 安全 性 ,这 个 阶段 信息 安全 主要 研究 如 何 对 信息 保密 。 在 计算 机 出 现 后 ,信息 
安全 则 主要 研究 计算 机 安全 , 即 研究 如 何 用 一 些 工具 来 保护 计算 机 系统 自身 的 安全 ,保护 计 
算 机 中 的 数据 并 阻止 黑客 攻击 。 国 际 标准 化 组 织 ISO 将 计算 机 安全 定义 为 数据 处 理 系统 
建立 和 采用 的 技术 上 和 管理 上 的 安全 保护 ,保护 计算 机 硬件 、 软 件数 据 不 因 偶然 和 恶意 的 原 
因而 遭 到 破坏 ,更改 和 泄露 。 在 计算 机 网 络 出 现 以 后 ,信息 在 传输 .处 理 、 存 储 时 都 存在 安全 
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问题 ,这 个 阶段 主要 一 个 研究 重点 是 网 络 安全 , 即 如 何 保护 数据 在 传输 过 程 中 安全 。 这 个 阶 
段 信 息 安全 研究 涉及 传输 网 络 .计算 机 系统 .数据 的 安全 保护 。 实 际 上 ,信息 安全 、 网 络 安全 
以 及 计算 机 安全 这 些 概 念 之 间 的 区 别 已 经 越 来 越 模糊 。 本 书 侧重 讨论 阻止 .防止 .检测 和 纠 
正信 息 传输 中 出 现 安全 问题 的 措施 。 在 讨论 之 前 , 先 了 解 “ 安 全 ”的 真正 含义 ,“ 安 全 ”的 基本 
含义 为 "远离 有 危害 的 状态 或 特性 ”, 或 “主观 上 不 存在 威胁 .主观 上 不 存在 恺 惧 ”。Bruce 
Schneier 的 一 段 话 形 象 地 说 明了 安全 的 本 质 ,“ 如 果 把 一 封 信和 锁 在 保险 柜 中 ,把 保险 柜 藏 在 
纽约 的 某 个 地 方 ,然后 告诉 你 去 看 这 封 信 , 这 并 不 是 安全 ,而 是 隐藏 ; 相反 ,如 果 把 一 封 信 锁 
在 保险 柜 中 ,然后 把 保险 柜 及 其 设计 规范 和 许多 同样 的 保险 柜 给 你 ,以 便 你 和 世界 上 最 好 的 
开 保 险 柜 的 专家 能 够 研究 锁 的 装置 ,而 你 还 是 无 法 打开 保险 柜 去 读 这 封 信 ,这 才 是 安 
Ea ”中 国 的 孙子 兵法 同样 给 出 了 安全 最 本 质 含义 。“ 用 兵 之 法 : 无 导 其 不 来 , 导 吾 有 以 
待 也 ; 无 导 其 不 攻 , 尾 看 有 所 不 可 攻 也 。” 信 息 安全 研究 的 最 终日 标 是 保证 信息 系统 具有 这 
样 的 安全 。 

为 了 更 好 地 理解 信息 安全 的 原理 与 技术 ,本 章 首先 介绍 一 些 重要 概念 ,它们 是 安全 攻 
击 、 安 全 机 制 、 安 全 服务 、 安 全 要 求 和 安全 目标 ,然后 给 出 它们 之 间 的 关系 。 最 后 介绍 网 络 安 
全 模型 以 及 安全 体系 结构 。 


1.1 安全 攻击 


信息 在 存储 、 共 享 和 传输 中 ,可 能 会 被 非法 窃听 、 截 取 、 算 改 和 破坏 ,这 些 危 及 信息 系统 
安全 的 活动 称 为 安全 攻击 。 安 全 攻击 分 为 主动 攻击 和 被 动 攻击 。 被 动 攻 击 的 特征 是 对 传输 
进行 窃听 和 监测 。 被 动 攻击 的 目的 是 获得 传输 的 信息 ,不 对 信息 作 任何 改动 ,如 消息 内 容 的 
泄露 和 流量 分 析 等 。 被 动 攻击 时 系统 的 操作 和 状态 不 会 改变 ,因此 被 动 攻击 主要 威胁 信息 
的 保密 性 。 主 动 攻 击 则 意 在 算 改 或 者 伪造 信息 .也 可 以 是 改变 系统 的 状态 和 操作 ,因此 主动 
攻击 主要 威胁 信息 的 完整 性 .可 用 性 和 真实 性 。 常 见 的 主动 攻击 包括 伪装 、 算 改 . 重 放 和 拒 
绝 服务 。 
下 面 是 一 些 常 见 的 安全 攻击 。 
。 消息 内 容 的 泄露 : 消息 的 内 容 被 泄露 或 透露 给 某 个 非 授权 的 实体 。 攻 击 者 用 各 种 
可 能 的 合法 或 非法 的 手段 窃取 系统 中 的 信息 资源 和 敏感 信息 。 例 如 对 通信 线路 中 
传输 的 信号 搭 线 监听 ,或 者 利用 通信 设备 在 工作 过 程 中 产生 的 电磁 泄露 截取 有 用 信 
息 或 者 利用 网 络 嗅 探 器 窃听 网 络 数据 包 。 
。 流量 分 析 (Traffic Analysis) : 通过 对 系统 进行 长 期 监听 ,利用 统计 分 析 方 法 对 诸如 
通信 双方 的 标识 、 通 信 频 度 、 消 息 格式 、 通 信 的 信息 流向 和 通信 总 量 的 变化 等 参数 进 
行 研究 。 从 中 发 现 有 价值 的 信息 和 规律 。 在 流量 分 析 过 程 中 ,攻击 者 虽然 不 能 获得 
消息 的 内 容 , 但 攻击 者 通过 分 析 数 据 从 哪里 来 到 哪里 去 ,传送 多 长 时 间 , 什 么 时 候 发 
送 ,发 送 频繁 程度 以 及 是 否 与 其 他 事件 有 关联 等 信息 可 以 判断 通信 的 性 质 。 
。 算 改 : 指 对 合法 用 户 之 间 的 通信 消息 进行 修改 或 者 改变 消息 的 顺序 。 
。 伪装 : 指 一 个 实体 冒充 另 一 个 实体 ,通常 攻击 者 通过 欺骗 通信 系统 (或 用 户 ) 冒 充 成 为 
合法 用 户 ,或 者 特权 小 的 攻击 者 冒充 成 为 特权 大 的 用 户 。 黑 客 大 多 是 采用 伪装 攻击 。 
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。 重 放 : 将 获得 的 信息 再 次 发 送 以 期 望 获 得 合法 用 户 的 利益 。 重 放 攻 击 类 似 于 现实 
生活 中 用 旧 飞 机 票 再 次 登 机 一 样 。 

。 拒绝 服务 (Denial of Service) : 指 阻 止 对 信息 或 其 他 资源 的 合法 访问 。 常 见 的 形式 
是 破坏 设备 的 正常 运行 和 管理 。 或 者 一 个 实体 抑制 发 往 特定 地 址 的 所 有 信件 。 男 
外 一 种 是 将 整个 网 络 扰 乱 , 扰 乱 的 方法 是 发 送 大 量 垃圾 信件 使 网 络 过 载 ,以 降低 系 
统 性 能 ,使 合法 用 户 得 不 到 应 有 的 服务 。 


1.2 安全 机 制 


阻止 安全 攻击 及 恢复 系统 的 机 制 称 为 安全 机 制 。 所 有 的 安全 机 制 都 是 针对 某 些 安全 攻 
击 而 设计 的 ,可 以 按 不 同 的 方式 单独 或 组 合 使 用 。 合 理 地 使 用 安全 机 制 会 在 有 限 的 投入 下 
最 大 地 降低 安全 风险 。 
安全 机 制 是 一 种 技术 ,一 些 软件 或 实施 一 个 或 更 多 安全 服务 的 过 程 。OSI 安全 框架 将 
安全 机 制 分 为 特定 的 安全 机 制 和 普遍 的 安全 机 制 。 一 个 特定 的 安全 机 制 是 在 同一 时 间 只 针 
对 一 种 安全 服务 实施 一 种 技术 或 软件 。 加 密 就 是 特定 安全 机 制 的 一 个 例子 。 尽 管 可 以 通过 
使 用 加 密 来 保护 数据 的 保密 性 、 数 据 的 完整 性 和 不 可 否定 性 ,但 针对 每 种 不 同 的 服务 ,需要 
不 同 的 加 密 技术 。 普 遍 安全 机 制 和 特定 安全 机 制 不 同 的 一 个 要 素 是 ,一 般 安全 机 制 不 能 应 
用 到 OSI 参考 模型 的 任 一 层 上 。 
特定 的 安全 机 制 包括 加 密 、 数 字 签 名 ,访问 控制 .数据 完整 性 、 认 证 交换 流量 填充 、 路 由 
控制 和 公证 。 
。 加 密 机 制 : 加 密 是 提供 数据 保护 最 常用 的 方法 ,加 密 能 够 提供 数据 的 保密 性 ,并 能 
对 其 他 安全 机 制 起 作用 或 对 它们 进行 补充 。 
。 数字 签名 机 制 : 数字 签名 主要 用 来 解决 通信 双方 发 生 否 认 ,伪造 、 算 改 和 冒充 等 问题 。 
。 访问 控制 机 制 : 访问 控制 机 制 是 按照 事先 制定 的 规则 确定 主体 对 客体 的 访问 是 否 
合法 ,防止 未 经 授权 的 用 户 非法 访问 系统 资源 。 
。 数据 完整 性 机 制 : 用 于 保证 数据 单元 完整 性 的 各 种 机 制 。 
。 认证 交换 机 制 : 以 交换 信息 的 方式 来 确认 对 方 身份 的 机 制 。 
。 流量 填充 机 制 : 指 在 数据 流 中 填充 一 些 额 外 数据 ,用 于 防止 流量 分 析 的 机 制 。 
。 路 由 控制 机 制 : 发 送信 息 者 可 以 选择 特殊 安全 的 线路 发 送信 息 。 
。 公证 机 制 : 在 两 个 或 多 个 实体 间 进 行 通信 时 ,数据 的 完整 性 .来源 .时 间 和 目的 地 等 
内 容 都 由 公证 机 制 来 保证 。 
普遍 的 安全 机 制 包括 如 下 内 容 。 
。 可 信 功 能 机 制 : 主要 加 强 现 有 的 安全 机 制 。 包 括 扩展 其 他 安全 机 制 的 应 用 范围 
者 增加 其 他 安全 机 制 的 效用 。 
。 安全 标签 机 制 : 安全 性 细 化 ,标明 安全 对 象 的 敏感 程度 或 保护 级 。 
。 事件 检测 机 制 : 检查 和 报告 本 地 或 远程 发 生 安全 相关 的 事件 。 既 要 检查 安全 破坏 
事件 ,也 要 检查 正常 事件 。 
。 审计 跟踪 机 制 : 收集 可 用 于 安全 审计 的 数据 ,检查 系统 记录 和 行为 ,测试 系统 控制 


地 
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信息 是 否 正常 ,确保 安全 策略 的 正常 实施 。 
。 安全 恢复 机 制 : 对 一 些 事件 作出 反应 ,包括 对 于 已 知 漏洞 创建 短期 和 长 期 的 解决 方 
案 , 对 受 危害 系统 的 修复 等 , 即 从 安全 破坏 状态 恢复 到 安全 状态 。 
在 以 上 的 安全 机 制 中 ,与 安全 服务 有 关 的 机 制 是 加 密 、 数 字 签 名 .访问 控 制 、. 数 据 完整 
性 .认证 交换 流量 填充 .路 由 控制 和 公证 。 与 管理 相关 的 机 制 是 可 信 功 能 机 制 , 安 全 标签 机 
制 ,事件 检测 机 制 ,审计 跟踪 机 制 和 安全 恢复 机 制 。 


1.3 安全 目标 与 安全 需求 


信息 安全 是 指 信息 系统 的 硬件 、 软 件 及 其 系统 中 的 数据 受到 保护 ,不 受 偶然 的 或 者 恶意 
的 原因 而 遭 到 破坏 、 更 改 \ 汇 露 ,系统 连续 可 靠 
正常 地 运行 ,使 信息 服务 不 中 断 。 信 息 安 全 的 
目标 是 指 能 够 满足 一 个 组 织 或 者 个 人 的 所 有 安 
全 需求 。 通 常 强调 CIA 三 元 组 的 目标 , 即 保密 
性 、 完 整 性 和 可 用 性 。 它 们 之 间 的 关系 如 图 1. 1 
所 示 。 信 息 安 全 主要 致力 于 这 些 目 标 , 由 于 这 
些 目 标 常 常 是 互相 矛盾 的 ,因此 需要 在 这 些 目 整 局 可 用 性 
标 中 找到 一 个 合适 的 平衡 点 。 例 如 ,简单 地 阻 
止 所 有 人 访问 一 个 资源 ,就 可 以 实现 该 资源 的 
保密 性 ,但 这 样 做 就 不 满足 可 用 性 。 因 此 应 该 
在 两 者 之 间 找 到 一 个 平衡 点 。 图 1.1 保密 性 .完整 性 和 可 用 性 之 间 的 关系 

安全 目标 通过 考虑 一 些 安 全 需求 来 满足 。 安 全 需求 主要 包括 如 下 一 些 内 容 。 

。 可 用 性 (Availability) : 确保 授权 的 用 户 在 需要 时 可 以 访问 信息 。 系 统 可 用 性 保证 
系统 能 够 正常 的 工作 ,合法 用 户 对 信息 和 资源 的 使 用 不 会 被 不 合理 地 拒绝 。 可 用 性 
是 信息 资源 服务 功能 和 性 能 可 靠 性 的 度量 ,是 对 信息 系统 总 体 可 靠 性 的 要 求 。 

。 完整 性 (Integrity) : 保护 信息 和 信息 处 理 方法 的 准确 性 和 原始 性 。 主 要 指 信 息 在 生 
成 传输、 储存 和 使 用 过 程 中 没有 被 算 改 和 丢失 等 。 完 整 性 包括 数据 完整 性 和 系统 
完整 性 。 数 据 完整 性 指数 据 在 没有 被 非 授 权 操 纵 , 非 授权 数据 操纵 可 能 发 生 在 数据 
储存 .处 理 和 传输 过 程 中 。 类 似 于 数据 完整 性 ,系统 完整 性 表示 系统 没有 被 非 授 权 
操纵 ,或 者 以 非 授权 方式 访问 。 

。 保密 性 (Confidentiality) : 确保 信息 只 被 授权 人 访问 。 保 密 性 是 指 信息 不 被 泄露 给 
非 授 权 者 。 保 密 性 可 使 机 密 信息 不 被 窃听 ,或 窃听 者 不 能 了 解 信息 的 真实 含义 。 

。 可 追溯 性 (Accountability) : 可 追溯 性 需求 是 确保 实体 的 行动 可 被 跟踪 。 可 追溯 性 
常常 是 一 个 组 织 策略 要 求 ,直接 支持 不 可 否认 、 故 障 隔 离 、 入 侵 检测 、 事 后 恢复 和 
诉讼 。 

。 保障 (Assurance) : 保障 是 对 安全 措施 信任 的 基础 ,保障 是 指 系统 具有 足够 的 能 力 保 
护 无 意 的 错误 以 及 能 够 抵抗 故意 渗透 。 没 有 保障 需求 ,其 他 安全 需求 将 不 能 满足 。 

上 面 提 到 的 5 个 安全 需求 是 相互 关联 和 相互 依赖 的 ,它们 之 间 的 关系 如 图 1. 2 所 示 。 


吉 


保密 性 


[ 保密 性 ] | 完整 性 ] | ( 保密 性 ] (完整 性 ] 


保障 
1.2 安全 需求 之 间 的 关系 


从 图 1.2 可 以 看 到 ,保密 性 依赖 于 完整 性 ,如 果 系 统 没 有 完整 性 ,保密 性 就 失去 意义 。 
同样 完整 性 也 依赖 于 保密 性 ,如 果 不 能 保证 保密 性 ,完整 性 也 将 不 能 成 立 。 假 如 某 个 信息 的 
保密 性 不 存在 (如 超级 用 户 密码 丢失 ) ,那么 攻击 者 可 以 使 用 旁 路 控制 的 方法 破坏 系统 的 完 
整 性 。 旁 路 控制 是 指 攻击 者 利用 系统 的 安全 缺陷 或 安全 性 上 的 脆弱 之 处 获得 非 授 权 的 权利 
或 特权 。 例 如 ,攻击 者 通过 各 种 攻击 手段 发 现 原本 应 保密 ,但 是 却 又 暴露 出 来 的 一 些 系统 
“特性 ”, 利 用 这 种 “特性 ”, 攻 击 者 可 以 绕 过 防线 守卫 者 侵入 系统 的 内 部 。 可 用 性 和 可 追溯 性 
都 由 保密 性 和 完整 性 支持 。 上 面 提 到 的 这 些 安全 需求 都 依赖 于 保障 。 


1.4 安全 服务 模型 


安全 服务 是 加 强 数据 处 理 系统 和 信息 传输 的 安全 性 的 一 种 服务 ,是 指 信 息 系统 为 其 应 
用 提供 的 某 些 功能 或 者 辅助 业务 。 安 全 机 制 是 安全 服务 的 基础 。 安 全 服务 是 利用 一 种 或 多 
种 安全 机 制 阻止 安全 攻击 ,保证 系统 或 者 数据 传输 有 足够 的 安全 性 。 图 1. 3 给 出 了 一 个 综 
合 安全 服务 模型 ,该 模型 揭示 了 主要 安全 服务 和 支撑 安全 服务 之 间 的 关系 。 该 模型 主要 由 
三 个 部 分 组 成 : 支撑 服务 .预防 服务 和 恢复 相关 的 服务 。 


1.4.1 支撑 服务 


支撑 服务 是 其 他 服务 的 基础 ,主要 包括 如 下 一 些 内 容 。 

。 鉴别 (Identification) : 它 表 示 能 够 独特 地 识别 系统 中 所 有 实体 ,这 些 实体 可 能 是 用 
户 .进程 或 者 信息 资源 。 

。 密 钥 管理 : 该 服务 表示 以 安全 的 方式 管理 密 钥 。 密 钥 常 常用 于 鉴别 一 个 实体 。 

。 安全 性 管理 (Security Administration) : 系统 的 所 有 安全 属性 必须 进行 管理 。 如 安 
装 新 的 服务 ,更 新 已 有 的 服务 ,监控 以 保证 所 提供 的 服务 是 可 操作 的 。 

。 系统 保护 : 系统 保护 通常 表示 对 技术 执行 的 全 面 信任 。 如 剩余 信息 保护 、 过 程 分 
离 .最 小 特权 、 模 块 性 ,以 及 信任 的 最 小 化 等 。 
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访问 按 


受 保护 的 通信 


图 1.3 安全 服务 之 间 的 关系 


1.4.2 预防 服务 
预防 服务 能 够 阻止 安全 漏洞 的 发 生 。 


受 保护 的 通信 : 该 服务 是 保护 实体 之 间 的 通信 。 该 服务 是 保证 完整 性 、 可 用 性 以 及 
保密 性 的 基础 。 

认证 (Authentication) : 保证 通信 的 实体 是 它 所 声称 的 实体 ,也 就 是 验证 实体 身份 。 
授权 (Authorization) : 授权 表示 允许 一 个 实体 对 一 个 给 定 系统 做 一 些 行动 。 如 访问 
一 个 资源 。 

访问 控制 (Access Control) : 防止 非 授 权 使 用 资源 , 即 控制 谁 访 问 资源 ,在 什么 条 件 
下 访问 ,能 够 访问 什么 等 。 

不 可 否认 (Non-repudiation) : 它 是 与 责任 相关 的 服务 , 指 发 送 方 和 接收 方 都 不 能 否 
认 发 送 和 接收 到 的 信息 。 

交易 隐私 (Transaction Privacy) : 该 服务 保护 任何 数字 交易 的 隐私 。 


1.4.3 检测 与 恢复 服务 


检测 与 恢复 服务 主要 是 关于 安全 漏洞 的 检测 ,以 及 采取 行动 恢复 或 者 降低 这 些 安全 漏 
洞 产生 的 影响 ,主要 包括 如 下 一 些 内 容 。 


审计 (Audib : 当 安 全 漏洞 被 检测 到 时 ,审计 安全 相关 的 事件 是 非常 重要 的 。 它 是 在 系 
统 发 现 错误 或 受到 攻击 时 能 定位 错误 和 找到 攻击 成 功 的 原因 ,以 便 对 系统 进行 恢复 。 


第 
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。 人 侵 检测 (Intrusion Detection) : 该 服务 主要 监控 危害 系统 安全 的 可 疑 行为 ,以 便 尽 
早 地 采用 额外 的 安全 机 制 来 使 系统 更 安全 。 
。 整体 检验 (Proof of Wholeness) : 整体 检验 服务 主要 是 检验 系统 或 者 数据 仍然 是 否 


是 完整 的 。 
。 恢复 安全 状态 (Restore Secure State) : 该 服务 指 当 安全 漏洞 发 生 时 ,系统 必须 能 够 
恢复 到 安全 的 状态 。 
1.5 安全 目标 、 需 求 .服务 和 机 制 之 间 的 关系 


前 面 我 们 已 经 介绍 了 安全 目标 、 安 全 
需求 ,安全 服务 和 安全 机 制 ,它们 之 间 的 大 
致 关系 可 用 图 1.4 表示 。 

全 部 安全 需求 的 实现 才能 达到 安全 目 
标 ,不 同 的 安全 服务 的 联合 能 够 实现 不 同 
的 安全 需求 ,一 个 安全 服务 可 能 是 多 个 安 「 安 全 服务 
全 需求 的 组 成 要 素 。 同 样 , 不 同 的 安全 机 
制 联合 能 够 完成 不 同 的 安全 服务 ,一 个 安 


全 机 制 也 可 能 是 多 个 安全 服务 的 构成 要 
素 。 表 1. 1 表示 了 一 些 安全 服务 和 安全 需 


安全 需求 | 安全 需求 


\ 


安全 服务 | [安全 服务 ] [安全 服务 ] 


安全 机 制 安全 机 制 安全 机 制 


1.4 ”安全 目标 需求. 服务 和 机 制 之 间 的 关系 


求 之 间 的 关系 。 

表 1.1 安全 服务 和 安全 需求 之 间 的 关系 

ee 可 用 性 | 完整 性 | 保密 性 | 可 追溯 性 | 保障 

坚 别 J J J 
密 钥 管 理 V 7] 过 
安全 性 管理 J 
系统 保护 J 
受 保护 的 通信 J Vy J 
认证 区 J 
授权 人 可 可 3 
访问 控制 V V J J 
不 可 否认 J 
交易 隐私 有 
审计 可 
入 侵 检 测 洒 V 
整体 检验 J V 3 J 
恢复 安全 状态 二 可 J 


表 1.1 也 说 明了 不 是 所 有 的 安全 需求 都 强制 性 地 要 求 所 有 安全 服务 ,但 是 这 些 安全 服 
务 并 不 是 完全 可 以 忽略 ,因为 这 些 安全 服务 可 能 间接 地 使 用 。 如 上 表 中 的 鉴别 和 密 钥 管理 
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两 个 安全 服务 仅仅 是 完整 性 \ 保 密 性 和 可 追溯 性 所 要 求 的 ,不 是 可 用 性 和 保障 必须 的 ,但 可 
用 性 是 依赖 于 完整 性 和 保密 性 。 保 障 则 与 可 用 性 、 完 整 性 、 保 密 性 和 可 追溯 性 相关 。 所 以 一 
个 密 钥 管理 服务 将 影响 所 有 的 安全 需求 。 


1.6 信息 安全 模型 


大 多 数 信息 安全 涉及 通信 双方 在 网 络 传输 过 程 中 的 数据 安全 和 计算 机 系统 中 数据 安 
全 。 图 1. 5 是 一 个 典型 的 网 络 安全 模型 。 


可 信 的 第 三 方 
机 人 Sa 
发 送 方 接收 方 

消 下 
息 

秘密 信息 

(如 密 钥 ) 

攻击 者 


图 1.5 网 络 安 全 模型 


通信 一 方 要 通过 传输 系统 将 消息 传送 给 另 一 方 ,由 于 传输 系统 提供 的 信息 传输 通道 
是 不 安全 的 ,存在 攻击 者 。 将 敏感 消息 通过 不 安全 的 通道 传 给 接收 方 一 般 先 要 对 消息 进 
行 安全 变换 ,得 到 一 个 秘密 的 安全 消息 ,以 防止 攻击 者 危害 消息 的 保密 性 和 真实 性 。 安 
全 秘密 消息 到 达 接 收 方 后 ,再 经 过 安全 变换 的 逆 变换 ,恢复 原始 的 消息 。 在 大 多 数 情况 
下 ,对 消息 的 安全 变换 是 基于 密码 算法 来 实现 ,在 变换 过 程 中 使 用 的 秘密 信息 不 能 为 攻 
击 者 所 知道 。 

为 了 保证 传输 安全 ,需要 有 大 家 都 信任 的 第 三 方 ,如 第 三 方 负责 将 秘密 信息 分 配给 通信 
双方 ,或 者 当 通 信 的 双方 就 关于 信息 传输 的 真实 性 发 生 争 执 时 ,由 第 三 方 来 仲裁 。 

从 网 络 安全 模型 可 以 看 到 ,设计 安全 服务 应 包括 下 面 的 4 个 方面 的 内 容 。 

(1) 设计 一 个 恰当 的 安全 变换 算法 ,该 算法 应 有 足够 强 安全 性 ,不 会 被 攻击 者 有 效 地 
攻破 。 

(2) 产生 安全 变换 中 所 需要 的 秘密 信息 ,如 密 钥 。 

(3) 设计 分 配 和 共享 秘密 信息 的 方法 。 

(4) 指明 通信 双方 使 用 的 协议 ,该 协议 利用 安全 算法 和 秘密 信息 实现 系统 所 需要 安全 
服务 。 

图 1.6 是 网 络 访问 信息 系统 的 安全 模型 。 该 模型 则 保护 信息 系统 不 受 有 害 的 访问 ,如 
阻止 黑客 试图 通过 网 络 访问 信息 系统 ,或 者 阻止 有 意 或 者 恶意 的 破坏 或 者 阻止 恶意 软件 利 
用 系统 的 弱点 来 影响 应 用 程序 的 正常 运行 。 
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1.6 网 络 访问 信息 系统 安全 模型 


对 付 有 害 访问 的 安全 机 制 分 为 两 类 。 一 类 是 具有 门卫 功能 的 守卫 者 , 它 包含 基于 认证 
的 登录 过 程 ,只 允许 授权 的 实体 不 越权 限 地 合法 使 用 系统 资源 ; 另 一 类 称 为 信息 系统 内 部 
安全 机 制 。 一 旦 非法 用 户 突破 了 守卫 者 .还 将 受到 信息 系统 内 的 各 种 监视 活动 和 分 析 储 存 
的 信息 ,以便 检 测 非法 入 侵 者 。 


1.7 网 络 安全 协议 


在 TCP/IP 刚 出 现时 ,协议 设计 者 对 网 络 安全 方面 考虑 较 少 。 随 着 Internet 的 快速 发 
展 , 越 来 越 多 的 人 开始 使 用 TCP/IP, 因 此 , 它 的 各 种 安全 脆弱 性 逐步 体现 ,但 是 ,目前 又 不 
能 设计 一 种 全 新 的 协议 来 取代 TCP/IP。 一 种 解决 方法 是 在 TCP/IP 参考 模型 的 各 层 增 加 
一 些 安全 协议 来 保证 安全 。 这 些 安全 协议 主要 分 布 在 最 高 三 层 , 主 要 有 如 下 一 些 协议 。 

。， 网络 层 的 安全 协议 : IPSec。 

。 传输 层 的 安全 协议 : SSL/TLS。 

。 应 用 层 的 安全 协议 : SHTTP(Web 安全 协议 )、PGP( 电 子 邮件 安全 协议 )、S/MIME 
(电子 邮件 安全 协议 )、MOSS( 电 子 邮 件 安全 协议 )、PEM( 电 子 邮 件 安全 协议 )、SSH 
(远程 登录 安全 协议 ) 和 Kerberos( 网 络 认证 协议 ) 等 。 

IPSec(IP Security) 是 IETF 制定 的 一 系列 安全 标准 协议 , 它 为 在 不 可 信 的 网 络 上 的 IP 

数据 包 传 输 提 供 了 一 个 安全 框架 。IPSec 能 够 保证 IP 协议 及 上 层 协议 的 安全 性 。 
SSL/TLS(Secure Socket Layer/Transport Layer Security), SSL 是 1994 年 Netscape 
公司 设计 的 用 于 HTTP 协议 加 密 的 安全 传输 协议 。SSL 工作 于 传输 层 和 应 用 程序 之 间 , 为 
TCP 提供 可 靠 的 端 对 端 安全 服务 。IETF1997 年 基于 SSL3. 0 协议 发 布 了 TLS1.0, 并 于 
1999 年 正式 作为 标准 , 即 RFC2246。 因 此 TLS1.0 相当 于 SSL3. 1。 
SHTTP(Secure Hypertext Transfer Protocol) 是 一 种 结合 HTTP 而 设计 的 消息 的 安 
全 通信 协议 ,最 初 由 企业 集成 技术 公司 (Enterprise Integration Technology Corporation， 
EIT) 提 出 ,SHTTP 通过 把 加 密 增强 功能 集成 到 HTTP 通信 流 中 ,在 应 用 层 实现 对 WWW 
的 安全 支持 ,SHTTP 1.0 于 1994 年 6 月 发 表 ,1999 年 8 月 升 至 1.4 版 本 (RFC2660)。 

PEM(Privacy Enhanced Mail) 是 20 世纪 80 年 代 末 90 年 代 初 发 展 起 来 的 ,第 一 个 描述 
电子 邮件 安全 的 标准 (RFC1421-1424)。 它 在 Internet 电子 邮件 标准 格式 上 增加 了 加 密 、 认 
证 和 密 钥 管理 等 功能 。 但 只 能 适用 保密 文本 信息 非常 简单 的 消息 格式 。 
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MOSS(MIME Object Security Service) 是 1995 年 提出 的 电子 邮件 安全 协议 , 它 包含 了 
PEM 的 大 部 分 特性 和 协议 规范 。 它 是 将 PEM 和 MIME 两 种 协议 相 结 合 的 一 种 电子 邮件 
安全 技术 。 其 中 MIME(Multipurpose Internet Mail Extensions) 是 一 种 因特网 邮件 标准 化 
的 格式 , 它 允 许 以 标准 化 的 格式 在 电子 邮件 消息 中 包含 增强 文本 .音频 .图 形 .视频 和 类 似 的 
信息 。 然 而 ,MIME 不 提供 任何 安全 性 元 素 。 

PGP(Pretty Good Privacy) 是 由 Philip Zimmermann 在 1991 年 开发 的 带 加 密 及 签名 功 
能 的 安全 邮件 系统 。 

S/MIME(Secure/ MIME) 是 由 RSA 公司 于 1995 年 提出 的 电子 邮件 安全 协议 ,与 传统 
的 PEM 不 同 ,由 于 其 内 部 采用 了 MIME 的 消息 格式 ,因此 不 仅 能 发 送 文本 ,还 可 以 携带 各 
种 附加 文档 ,如 包含 国际 字符 集 .HTML 音频 .语音 邮件 ` 图 像 和 多 媒体 等 不 同类 型 的 数据 
内 容 , 目 前 大 多 数 电 子 邮 件 产品 都 包含 了 对 S/MIME 的 内 部 支持 。 

SSH(Secure Shell) 是 一 种 远程 登录 安全 协议 ,主要 由 芬兰 赫尔辛基 大 学 的 Tatu 
Ylonen 开发 的 , 它 提供 一 条 安全 的 远程 登录 通道 。 

Kerberos 协议 是 20 世纪 80 年 代 由 MIT 开发 的 一 种 网 络 认 证 协议 。Kerberos 是 希腊 
神话 故事 中 一 种 三 个 头 的 狗 , 还 有 一 个 蛇 形 尾巴 。 是 地 狱 之 门 的 守卫 者 。 现 代 取 Kerberos 
这 个 名 字 意 指 要 有 三 个 “ 头 ” 来 守卫 网 络 之 门 , “三 头 ” 包 括 认 证 (Authentication)、 清 算 
(Accounting) 和 审计 (Audit) 。 

上 面 提 到 的 一 些 协议 将 在 本 书 的 后 面 章节 进行 详细 介绍 。 


1.8 关键 术语 


安全 攻击 (Security Attack) 
安全 机 制 (Security Mechanism) 
安全 服务 (Security Service) 
安全 目标 (Security Goal) 

鉴别 (Identification) 

认证 (Authentication) 

授权 (Authorization) 

访问 控制 (Access Control) 

数据 保密 性 (Data Confidentiality) 
数据 完整 性 (Data Integrity) 
不 可 否认 (Non-repudiation) 

可 用 性 (Availability) 

可 追溯 性 (Accountability) 
拒绝 服务 (Denial of Service) 
重 放 攻 击 (Replay Attack) 


1 


bh jt 


wD 


1.9 习 题 


主动 攻击 和 被 动 攻击 的 区 别 是 什么 ? 

列 出 一 些 主动 攻击 和 被 动 攻击 的 例子 。 

列 出 并 简单 定义 安全 机 制 的 种 类 。 

安全 服务 模型 主要 由 几 个 部 分 组 成 ? 它们 之 间 存 在 什么 关系 ? 
说 明 安 全 目标 、 安 全 要 求 、 安 全 服务 以 及 安全 机 制 之 间 的 关系 。 
说 明 在 网 络 安全 模型 中 可 信 的 第 三 方 所 起 的 作用 。 
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本 章 导 读 

局 本 章 介绍 的 数学 知识 是 学 习 后 面 章节 (特别 是 密码 学 部 分 ) 的 基础 。 主 要 包括 数论 、 
代数 基础 .计算 复杂 性 理论 和 单 向 函数 。 

如 两 个 整数 的 最 大 公 因 子 是 可 以 整除 这 两 个 整数 的 最 大 整数 。 计 算 两 个 数 的 最 大 公 
因子 的 最 容易 的 方法 是 用 欧 几 里 德 算 法 。 

避 素数 表示 只 能 被 自身 和 1 整除 。 许 多 密码 算法 需要 选取 一 个 大 的 素数 ,判断 一 个 随 
机 选取 的 大 整数 是 否 是 素数 是 一 个 非常 有 意义 的 研究 。 

后 模 运算 就 是 求 余 运算 。 求 余 运 算 a mod m 是 将 a 映射 到 集合 {0,1,…,m 一 1} 中 。 

后 模 算术 运算 类 似 于 普通 的 实数 域 上 的 加 法 和 乘法 , 它 同样 是 可 交换 的 、 可 结合 的 、 可 
分 配 的 ,并 且 简 化 运算 每 一 个 中 间 结 果 的 模 运 算 , 其 作用 与 先进 行 全 部 运算 ,然后 再 
简化 模 运 算 效 果 一 样 。 

如 扩展 欧 几 里 德 算法 可 以 同时 求 最 大 公 因 子 和 模 逆 元 。 

局 公 钥 密 码 体 制 中 两 个 非常 重要 的 定理 是 费 马 定理 和 欧 拉 定 理 。 

如 离散 对 数 、 中 国 剩余 定理 和 二 次 剩余 是 一 些 公 角 密码 算法 的 基础 。 

扣 有 限 域 在 密码 学 中 取 非 常 重 要 的 作用 。 有 限 域 表示 域 中 的 元 素 个 数 是 有 限 的 。 

后 计算 复杂 性 理论 是 分 析 不 同 密码 技术 和 算法 的 计算 复杂 性 方法 ,是 安全 的 现代 密码 
系统 构造 方法 的 理论 依据 。 

局 单 向 函数 表示 计算 其 函数 值 容 易 , 但 求 其 逆 很 难 。 单 向 陷 门 函数 是 在 不 知 陷 门 信息 
下 求 逆 困难 的 函数 ,当知 道 陷 门 信息 后 , 求 逆 是 易于 实现 的 。 在 密码 学 中 使 用 的 是 
单 向 陷 门 函数 。 


信息 安全 是 一 门 交叉 学 科 , 它 涉及 许多 学 科 , 诸 如 数学 `. 计 算 机 科学 通信、 信息论 等 。 
本 章 主要 介绍 该 书 中 所 用 到 的 一 些 数学 知识 。 


2.1 数 论 


数论 是 一 个 用 数学 方法 研究 整数 性 质 古 老 的 数学 分 支 , 它 是 近代 密码 学 的 重要 基础 
之 = 


2.1.1 因子 


设 Z 表示 全 体 整数 所 构成 的 集合 。 
定义 2.1 设 a.b EZ2Z,a 了 闫 0,cEZ, 使 得 6 二 ac, 则 称 a 整除 2, 并 称 a 是 2 的 因子 或 者 约 
数 ,b 是 a 的 倍数 , 记 为 wa|20。 
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由 整除 的 定义 可 知 , 它 具有 如 下 性 质 : 若 a 了 0,6 取 0, 则 

(1) ala。 

(2) 如 果 alb,blc, 则 alc。 

(3) 如 果 alc, 则 ab|c6b。 

(4) 如 果 ald,ale, 则 对 所 有 的 x,y EZ, 有 al(dr 二 ey)。 

(5) 如 果 alb,bla, 则 < 一 士 0。 

定理 2.1( 带 余 除 法 ) ” 设 4a,b €2Z,b 宇 1, 则 存在 唯一 的 整数 g 和 ,使 得 < 一 0 十 r， 
0 三 r 二 5。g 称 a 除 以 5 所 得 的 商 ,r 称 为 a 除 以 2 所 得 的 最 小 非 负 剩余 。 

定义 2.2 设 a,b EZ2Z,a.b 不 全 为 0, 如 果 cla 且 cc15,; 则 称 c 为 a 和 2 的 公 因 子 。 特 别 
地 ,我 们 把 a 和 46 的 所 有 公 因 子 中 最 大 的 , 称 为 a 和 46 的 最 大 公 因 子 , 记 为 gcd(a, 中 或 者 (a,b)。 

如 果 正 整数 4 满足 下 面 两 个 条 件 . 那 么 它 即 为 a 和 2 的 最 大 公 因 子 。 

(1) d 是 a 和 2 的 公 因 子 。 

(2) 对 a 和 4 的 任何 一 个 公 因 子 c, 有 cld。 

可 以 证 明 a 和 4 的 最 大 公 因 子 必 然 存在 , 且 唯 一 。 

定义 2.3 设 a,b EZ2Z,a,b 不 全 为 0, 如 果 alD 且 51D,D 宇 1, 则 称 DD 为 a 和 2 的 公 倍 
数 。 我 们 把 a 和 w 的 所 有 公 倍 数 中 最 小 的 正 数 , 称 为 a 和 4 的 最 小 公 倍数 。 记 为 lem(a,0)。 

a 和 4 的 最 小 公 倍 数 一 定 存在 , 且 唯 一 。 对 于 两 个 正 整数 a 和 4 ,可 以 证 明 

ab = gcd(a.b) » lcm(a,b) 

定理 2.2 设 a 和 2 都 是 正 整数 , 且 a 二。 

a=bgi+r 0 一 一 0 


其 中 g 和 都 是 正 整数 , 则 
(1) a 和 2 的 任 一 公 因 子 也 是 5 和 > 的 公 因 子 。 
(2)b 和 的 任 一 公 因 子 也 是 a 和 2 的 公 因 子 。 
(3) gcd(a.b)=gcd(b,r), 
(4) 若 gcdla,b) 二 d, 则 gcd(ald,b1d)==1。 
计算 两 个 数 的 最 大 公 因 子 的 最 容易 的 方法 是 用 欧 几 里 德 (Euclid) 算 法 , 它 通过 一 个 简 
单 过 程 来 确定 两 个 正 整数 的 最 大 公 因 子 。 
定理 2.3( 欧 几 里 德 算法 ) ”给 定 整数 a 和 4, 且 /%>0, 重 复 使 用 带 余 除法 , 即 每 次 的 余数 
为 除数 去 除 上 一 次 的 除数 ,直到 余数 为 0, 这样 可 以 得 到 下 面 一 组 方程 。 
a=bqi+n, 0<=~n<=6b 
b=rgtr, 0<~<r<n 
n=rigsTrs, 0<=~rs=r 


re = TH 
最 后 一 个 不 为 0 的 余数 x; 就 是 a 和 b 的 最 大 公 因子 。 
例 2.1 求 gcd(1970,1066)。 
解 : 用 欧 几 里 德 算法 的 计算 过 程 如 下 。 
1970 二 1 X1066 十 904 
1066 二 1 X 904 十 162 
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904 二 5X162 十 94 
162 一 1X94 十 68 
94 王 1X68 十 26 
68 一 2X26 十 16 
26= 二 1X16 十 10 
16 王 1X10 十 6 
10 王 1X6 十 4 
6 一 1X4 十 2 

4 一 2X2 十 0 


因此 gcd(1970,1066) 一 2 。 

下 面 给 出 欧 几 里 德 算 法 另 一 种 等 价 形式 。 

定理 2.4 对 任何 非 负 整数 a 和 正 整数 2, 有 gcd(Ca,0) 王 gcd(O,a mod 0) 。 
基于 定理 2. 4, 欧 几 里 德 算法 过 程 描述 如 下 (算法 中 假设 a 二 6 二 0): 


EUCLID (a,6) 
CLY Xn Yb 
(2) if Y=0 then return X=gcd(a,b); 
(3) R=X mod YY; 
(4) XY; 
(C57 YR 
(6) Goto 2. 


2.1.2 素数 


定义 2.4 设 p E2,p 宇 2, 如 果 p 的 正 因子 只 有 1 和 pp, 则 称 p 为 素数 ,否则 为 合 数 。 

由 该 定义 可 知 , 正 整数 集合 可 分 为 三 类 : 素数 、 合 数 和 1。 其 中 2 属于 素数 。 

定义 2.5 若 正 整数 a 有 一 因子 65, 而 4b 又 是 素数 , 则 称 5 为 a 的 素 因 子 。 

例如 12 二 3X4, 其 中 3 是 12 的 素 因子 ,而 4 则 不 是 。 

定理 2.5 若 a 是 大 于 1 的 整数 , 则 a 的 大 于 1 的 最 小 因子 一 定 是 素数 。 

本 定理 说 明了 任何 大 于 1 的 整数 均 可 被 一 素数 整除 ,或 者 说 都 至 少 有 一 素 因 子 。 

对 于 素数 ,具有 下 面 一 些 结论 : 

(1) 如 果 p 是 素数 ,上 且 plab: 则 pla 或 p16。 

(2) 对 于 任意 大 于 1 的 整数 mm, 都 有 了 唯一 分 解 式 

m = pr ps "pr 

其 中 pi ,ps，… ,ps 均 为 素数 ,p; 二 p;(i<j), 且 a; 都 是 正 整 数 。 

(3) 有 无 穷 多 个 素数 。 

(4) 素数 定理 : 设 x(zx) 表 示 不 大 于 zz 的 素数 的 数目 , 则 lim(xr(Cz)InCz))/z 一 1。 素数 定 
理 表 明 ,对 充分 大 的 z,rCz) 可 用 z/lnz 来 近似 表示 。 

定义 2.6 如 果 整 数 a 与 整数 0 的 最 大 公 因 子 是 1, 即 gcdCa.0) 王 1, 则 称 av 与 5 互 为 素 
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数 , 简 称 互 素 。 

定义 2.7 设 g(m) 为 小 于 或 等 于 mm 上 且 与 mr 互 素 的 正 整 数 个 数 , 则 称 其 为 欧 拉 (Euler) 
函数 。 
由 定义 易 知 ,Pp(1) 一 1,p(2) 一 1,p(3) 一 2,p(5) 一 4,p(8) 一 4。 

需要 注意 的 是 ,在 互 素 的 正 整 数 中 ,不 一 定 有 素数 。 例 如 gcd(25,36) 一 1, 但 25 和 36 
都 不 是 素数 而 是 合 数 。 

素数 有 无 穷 多 个 ,但 人 们 至 今 没有 找到 一 个 可 用 来 表示 全 体 素 数 的 暂 用 公式 。 素 数 在 
自然 数列 中 的 分 布 是 很 不 规则 的 , 越 往 后 越 稀 朴 。 例 如 ,对 于 每 个 大 于 或 等 于 2 的 整数 ，， 
连续 2 一 1 个 整数 nl 十 2,n1 十 3,… ,nl 十 n 都 不 是 素数 。 可 见 在 正 整 数 序列 中 ,有 任意 长 的 
区 间 中 不 包含 素数 。 另 一 方面 ,任意 两 个 相 邻 的 正 整数 上 和 ?7 十 1(?" 之 3) 中 必 有 一 个 不 是 素 
数 。 相 邻 两 整数 均 为 素数 只 有 2 和 3。 但 是 n 和 nn 十 2 均 为 素数 的 则 有 很 多 ,这 样 一 对 素数 
称 为 挛 生 素数 。 例 如 在 100 以 内 有 7 对 挛 生 素数 : (3,5)、(5,7)、(11,13)、(29,31)、 
(41,43)、(59,61) 和 (71,73) 。 


2.1.3 同 余 与 模 运 算 


1. 同 余 

用 2Z 表示 正 整数 {0,1,…,m 一 1) 的 集合 。 

定义 2.8 两 个 整数 a,b 分 别 被 mr 除 , 如 果 所 得 的 余数 相同 , 则 称 a 与 5 对 模 m 是 同 余 
的 , 记 为 a 三 b(mod m) , 正 整数 m 称 为 模 数 。 

求 余 运算 a mod m 是 将 a 映射 到 集合 {0,1,…,m 一 1} 中 , 求 余 运算 称 为 模 运 算 。 

同 余 具 有 下 面 的 性 质 : 

(1) 车 4 三 b(mod 0), 则 ml| (6 一 a)。 反 过 来 ,车 21 (6 一 a), 则 a 硅 b(mod m)。 

(2) 如 果 a 二 km 十 b(k 为 整数 ) , 则 a 硅 b(mod m)。 

(3) 每 个 整数 恰 与 0,1,…,m 一 1 这 m 个 整数 中 的 某 一 个 对 模 m 同 余 。 

(4) 同 余 关 系 是 一 种 等 价 关 系 。 

(5) a 三 6(mod m) 当 且 仅 当 a mod m= 二 b mod m。 

由 于 相对 于 某 个 固定 模 数 m 的 同 余 关系 ,是 整数 间 的 一 种 等 价 关 系 ,因此 它 具 有 等 价 
关系 的 三 个 基本 性 质 。 

(1) 自 反 性 : a 三 a(mod m)。 

(2) 对 称 性 : 若 a 夺 b(mod m) , 则 6 三 a(mod m)。 

(3) 传递 性 : 车 a 三 b (mod m), 且 5 三 c(mod m), 则 a 硅 c(mod 1m)。 

定理 2.6 设 ab、cvd 为 整数 ,mm 为 正 整 数 , 若 a 三 b(mod m),c 三 d(mod m), 则 

(1) ar 十 cy 三 bx 十 dy(mod m) ,zy 为 任意 整数 , 即 同 余 式 可 以 相 加 。 

(2) ac 寺 bd(mod m) , 即 同 余 式 可 以 相 乘 。 

(3) an=bn(mod m) .7 一 0。 

(4) f(Q) 圭 f(6) (mod m) ,f(zx) 为 任 一 整 系数 多 项 式 。 

定理 2.7 设 ab、cvd 为 整数 ,m 为 正 整 数 , 则 

(1) 车 a 三 b(mod m), 且 dlm; 则 a 寺 b(mod d)。 
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(2) 若 a=2(Cmod m), 则 gcd(a,m) 一 gcd(b,m)。 

(3) a 三 b(mod mi;) (1 二 i 委 2) 同 时 成 立 , 当 且 仅 当 a 寺 6(mod [wa ,zz ,… ,mj])。 

定理 2. 8( 乘 法 消去 律 ) 对 于 ab 夺 ac(mod 72) 来 说 , 若 gcd(a,m) 二 1 则 0=cCmod m)。 

定理 2.9( 加 法 消去 律 ) 如 果 < 十 6 二 < 十 cCmod 72) , 则 5=cCmod m)。 

注意 : 加 法 消去 律 是 没有 条 件 ,但 乘法 消去 律 的 条 件 是 gcd(a,m) 一 1, 即 a 和 mm 互 素 。 

例如 6X3 夺 6X7 志 2 mod 8, 但 3 三 7 mod 8 不 成 立 。 

定义 2.9 由 于 模 m 同 余 关系 是 一 个 等 价 关 系 , 阁 将 Z 中 同 余 的 数 归 为 一 类 ,不 同 余 的 
数 归 为 不 同 的 类 , 则 将 Z 分 为 mm 个 类 , 称 为 模 m 的 剩余 类 或 同 余 类 。 

车 用 [rj]( 或 r+ mod m) 表 示 7r 所 属 的 模 m 的 剩余 类 . 则 [xr]={i|i 三 r(mod m) ,i€2)。 

例如 模 m 的 同 余 类 是 

0Cmod m) ,1(mod m) :7 一 1(Cmod m) 

定理 2.10 设 m0,[0]、[1j]、…、[m 一 1j 是 模 m 的 剩余 类 , 则 

(1) 每 个 整数 包含 在 某 一 剩余 类 [r] 中 ,0r<m 一 1。 

(2) 两 个 整数 a .wb 属 于 同一 剩余 类 , 当 且 仅 当 a 三 b(mod m)。 

定义 2.10 在 模 mx 剩余 类 [0j,[1],…,[m 一 1] 中 各 取 一 数 ao ,a ，…,am-1, 该 mm 个 数 
aosal，"* ,am-1 称 为 模 m 的 一 个 完全 剩余 系 ,将 {10,1,…,m 一 1} 记 为 Z,, 称 为 模 m 的 非 负 最 
小 完全 剩余 系 。 

定义 2.11 若 模 m 剩余 类 中 的 数 与 m 互 素 , 称 它 为 与 模 m 互 素 的 剩余 类 ,在 与 模 m 
互 素 的 所 有 剩余 类 中 各 取 一 数 所 组 成 的 集合 , 称 为 模 mx 的 一 个 简化 剩余 系 ,Z, 的 简化 剩余 
系 记 为 Z。 。 

例 2.2 证 明 6、9、12、15、18、21、24、27 是 模 8 的 一 个 完全 剩余 系 ,而 其 中 9、15、21、27 
是 模 8 的 一 个 简化 剩余 系 。 

证 明 ”因为 6 二 6(Cmod 8) ,9 三 1(mod 8),12 寺 4(mod 8),15 寺 7(mod 8),18 三 2(mod 8)， 
21 寺 5(mod 8) ,24 三 0(mod 8) ,27 三 3(mod 8) ,所 以 6.9、12、15、18、21、24、27 是 模 8 的 一 完 


全 剩余 系 。 

因为 9.15.21.27 分 别 取 自 与 8 互 素 的 所 有 剩余 类 中 ,所 以 9.15、.21、27 是 模 8 的 一 个 
简化 剩余 系 。 

定义 2.12 车 a 都 是 整数 , 且 不 能 整除 4, 则 称 ax 三 6(mod m) 为 模 m 的 一 次 同 余 
方程 。 


若 mm 满足 awo 三 b(mod mr) , 则 z 志 zo (mod m) 称 为 它 的 解 。 其 全 部 解 可 表示 为 xo 十 mk， 
天 王 05 主 1 二 2 

不 同 的 解 是 指 互 不 同 余 的 解 。 

定理 2.11 设 a€2, 对 于 任意 的 bE 2: 同 余 方程 axr 寺 6(mod m) 有 唯一 解 xEZ 的 
充分 必要 条 件 是 gcd(a,m) 二 1。 

定理 2.12 设 gcd(a,.m) 一 d,m 记 0, 则 az 三 b(mod m) 有 解 , 当 且 仅 当 416。 

2. 模 运 算 

下 面 定 义 模 mx 上 的 算术 运算 ,在 Z, 上 定义 加 法 和 乘法 ,其 运算 类 似 于 普通 的 实数 域 上 
的 加 法 和 乘法 ,所 不 同 的 只 是 所 得 的 值 是 去 模 后 的 余数 。 它 同样 是 可 交换 的 、 可 结合 的 、 可 
分 配 的 ,并 且 简 化 运算 每 一 个 中 间 结 果 的 模 m 运算 ,其 作用 与 先进 行 全 部 运算 ,然后 青 简化 
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模 m 运算 是 一 样 的 。 下 面 是 模 运 算 的 一 些 性 质 。 
(1) (十 0) mod m=((a mod m)+(b mod m)) mod m 
(2) (a—b) mod m=((a mod m)—(b mod m)) mod m 
(3) (aXb) mod m=((a mod m)X(b mod m)) mod m 
(4) (aX(bH)) mod m=((aXb) mod m)i+((aXc) mod m) mod m 
例如 : 
11 mod 8=3, 15 mod 8=7 


(11 mod 8) 十 (15 mod 8) mod 8 一 (3 十 7) mod 8=2 
(11 十 15) mod 8 一 26 mod 8 一 2 

在 模 运 算 中 ,加 法 单位 元 是 0,(0 十 c) mod m 二 a mod m; 乘法 单位 元 是 1,(1Xa) mod zz 一 
a mod m, 

定义 2.13 对 a€E 有 ,存在 bE ZZ, 使 得 a 十 6 三 0(mod mm), 则 5 是 a 的 加 法 道 元 , 记 5 二 一 a。 

定义 2.14 对 a€2, 存 在 bE 2Z, 使 得 aXb 三 1(mod m), 则 称 5 为 a 的 乘法 逆 元 。 

加 法 一 定 存在 逆 元 ,乘法 不 一 定 存在 逆 元 。 

在 密码 学 特别 是 非 对 称 密码 体制 中 ,常常 需要 求 模 逆 元 , 求 模 逆 元 就 是 求 乘 法 着 元 。 即 
寻找 一 个 zx, 使 得 aXzx 夺 1 mod m 成 立 。 

上 式 也 可 以 写 为 1 三 (aXx) mod m 或 者 a ! 三 x(mod m)。 

例如 ,寻找 一 个 xz, 使 得 

4Xzx=1(mod 7) 

这 个 方程 等 价 于 寻找 一 组 x 和 ,使 4+ 二 7k 十 1, 其 中 x 和 外 均 为 整数 。 

求 模 逆 元 问题 很 困难 ,有 时 有 结果 ,有 时 没有 结果 。 一 般 来 说 ,如 果 a 和 wm 互 素 ,那么 
a ! 三 x(mod m) 有 唯一 解 ; 如 果 a 和 不 是 互 素 的 ,那么 a ! 三 x(mod m) 没 有 解 。 如 果 m 
是 一 个 素数 ,那么 从 1 到 mm 一 1 的 每 一 个 数 与 m 都 是 互 素 的 , 旦 在 这 个 范围 内 恰好 有 一 个 首 
元 。 利 用 扩展 欧 几 里 德 算 法 能 够 计算 出 模 逆 元 。 

图 2. 1 是 模 8 运算 的 例子 。 从 图 2. 1 可 以 发 现 , 模 8 的 加 法 和 乘法 运算 与 普通 运算 一 
样 , 只 是 将 所 得 的 值 是 去 模 8 后 的 余数 。 在 图 2.1(c) 中 ,对 每 一 个 x 都 有 一 个 对 应 的 y, 使 
得 x 十 y 三 0 mod 8, 则 y 是 x 的 加 法 逆 元 。 如 对 2, 有 6, 使 得 2 十 6 硅 0 mod 8, 那 么 6 是 2 的 
加 法 道 元 。 如 果 对 xz, 存在 y, 使 得 +Xy 三 1 mod 8, 则 y 为 zx 的 乘法 逆 元 。 如 3X3 三 1 mod 8， 
因此 3 的 乘法 逆 元 是 3。 


二 


A SE | x 0 1 2 3 4 5 6 7 a 一 aa 

区 可 医 副 医 到 医治 医 二 区 二 区 到 医 / ololololololololo 0 | 0 | 一 
到 医 到 医 汉 医治 攻 下 区 引 区 汉 攻 二 区 9 | 恒 区 二 了 医 ， 
| 3 | | | 7 | 6 | S| Qo 2 a | Ge | 2 | 2 | 6 | 一 
可 医 到 区 避 攻 河 区 司 攻 二 区. 局 医 国医 5 国医 梧 医 可 区 本 区 下 医 可 区 可 展 司 医 5 本 区 河 展 : 
||lsle|l7 lolil2|s 4lol4lol4lol4|lola 4|4| 一 
滞 攻 相克 引 医 避 区 可 本 吉 医 汪 医 恒 医 ' 5 | 六 | 考 | | 到 | 二 | 全 | 请 | 3 5 于 | 和 
记 医 光 攻 二 区 ,二 医 面 医 避 医 司 医 司 医 了 6|o|6|4|2|o|6|14|2 6 | 2 | 一 
二 医 下 区 可 匡 国 攻 沁 区 可 功 梧 医 河 区 和 区 可 医 相 区 司 区 司 区 引 攻 下 医 哥 医 1 EE 

(a) 模 8 加 法 (b) 模 8 乘法 (c) 模 8 的 加 法 逆 元 和 乘法 逆 元 


图 2.1 模 8 运 算 
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3. 扩展 欧 几 里 德 算法 

扩展 欧 几 里 德 算 法 不 仅 能 够 确定 两 个 正 整数 的 最 大 公 因 子 , 如 果 这 两 个 正 整数 互 素 ,还 
能 确定 它们 各 自 的 逆 元 。 如 果 整 数 滩 宇 0,gcd(d.m) 二 1. 那 么 4d 有 一 个 模 m 的 乘法 逆 元 。 
用 扩展 欧 几 里 德 算 法 求 模 逆 元 描述 如 下 。 


Extended EUCLID (d.,.m) 
(1) (Xi1,X;, Xs)<—(1,0,m)s (Yi,Y2,Ys)<—(0,1,d)., 
(2) 如 果 Y= 二 0 返回 X; 二 gcd(d,m); 无 逆 元 。 
(3) 如 果 Y 六 ,二 1 返回 Y; 二 gcd(d,m); Ys 二 d”! mod m。 
(4) (Q 一 | Xs/Y; (Lx 康 示 取 x 的 整数 部 分 )。 
(5) (Ti,T;,Ts)—(X1—QY,X,—QY,,X,—QY,)., 
(6) (Xi,X:, Xs)—(Y, ,Y, ,Ys)., 
CATS Ya Tr Ts To) 
(8) 返回 (2)。 


算法 运行 的 最 后 结果 的 Ys 是 最 大 公 因 子 ,Y, 是 d 的 模 mm 逆 元 。 
例 2.3 用 扩展 欧 几 里 德 算法 求 gcd(550,1769) 和 550-!: mod 1769。 
解 : 计算 过 程 如 表 2. 1 所 示 。 


表 2.1 用 扩展 欧 几 里 德 算 法 求解 最 大 公 因 子 和 模 逆 元 过 程 


循环 次 数 0 X xX; Xs Yi CT) Y2(T,) Ys(T,) 
初始 值 要 1 0 1769 0 1 550 
1 3 0 | 550 一 3 119 
2 4 1 三 学 119 一 4 13 74 
3 一 4 13 74 5 一 16 45 
4 1 一 9 29 29 14 一 45 16 
5 和 14 一 45 16 一 23 74 13 
6 1 一 23 74 13 37 一 119 3 
六 4 37 一 119 3 = 550 1 


可 见 gcd(550,1769) 二 1,550”! mod 1769 二 550, 即 550X550 寺 1] mod 1769 。 
4. 快速 指数 模 运 算 
在 非 对 称 密码 体制 ( 公 钥 密码 体制 ) 中 常常 涉及 指数 模 运算 ,如 计算 73” mod 37。 直 接 
计算 73 的 327 次 方 后 再 模 37 肯定 不 行 。 一 种 方法 是 利用 前 面 介绍 的 模 运 算 性 质 
(axXb) mod 一 (Co mod m)X(b mod m)) mod m, 将 指数 模 运 算 可 以 看 做 是 多 次 重复 乘 
法 ,并 且 在 计算 中 间 结 果 时 就 取 模 。 可 以 进行 类 似 变 换 : a* mod m= 二 ((a mod m)*) mod m。 
例如 : 计算 11” mod 13, 可 以 按照 下 面 的 思路 。 
11?=121 寺 4 mod 13 
11= (11?)2 寺 4?mod 13 寺 3 mod 13 
11’=11X11X11==1]1 X4X3 mod 13=132 mod 13=2 mod 13 
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上 面 的 方法 计算 一 个 大 整数 的 大 整数 次 寡 还 是 比较 麻烦 ,下 面 介绍 两 种 快速 求 指数 模 
算法 。 


1. 快速 求 m* mod n 算法 一 


快速 求 m* mod nn 算法 
(1) a<e,o<c<1, 其 中 oo:c 为 三 大 整数 寄存 器 。 
(2) 如 果 < 王 0, 则 输出 结果 c 即 为 所 求 的 模 ” 的 大 整数 次 寡 。 
(3) 如 果 a 是 奇数 , 转 第 (5) 步 。 
(4) a<(a 二 2).0<-(OXO) mod n, 转 第 (3) 步 。 
(5) a 一 (a 一 1),c<-(cXb) mod n, 转 第 (2) 步 。 


例 2.4 计算 30” mod 77。 
解 : 在 实际 应 用 中 ,可 以 将 上 面 的 算法 转换 为 表格 的 形式 进行 求解 。 计 算 过 程 如 表 2. 2 
所 示 。 


表 2.2 快速 计算 30”mod 77 的 过 程 


a b [3 

37 30 1 

36 与 前 一 次 值 相同 (30X1) mod 77 一 30 
18 (30X30) mod 77=53 与 前 一 次 值 相同 

9 (53X53) mod 77 一 37 与 前 一 次 值 相同 

8 与 前 一 次 值 相同 (37X 30) mod 77 一 32 
4 (37X37) mod 77 一 60 与 前 一 次 值 相同 

2 (60X60) mod 77 一 58 与 前 一 次 值 相同 

1 (58X58) mod 77 一 53 与 前 一 次 值 相同 

0 与 前 一 次 值 相同 (53X32) mod 77 一 2 


由 最 后 一 行 可 知 ,c 一 2, 即 30”” mod 77 一 2。 
2. 快速 求 m* mod n 算法 二 


将 e 表示 为 二 进 制 形式 Op mb , 即 e 一 >)2i, 将 ce 代入 m* 中 ,可 得 


大 天 0 
772” 一 Tm 
6:¥0 
因此 mr mod 7 一 (Iw) modn= [| Gn’ mod n) 
本 天 0 相关 0 


快速 求 mod nn 算法 
(1) d=1; 
(2) for i=k downto 0 do 
d=(dXd) modn:; 
i 6;=1 then d= (dXm) mod n; 


(3) return d; 


下 
ba 
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人 
ul 


六 


算法 中 最 后 的 4 即 为 所 求 值 。 
例 2.5 计算 75 mod 561 。 
解 : 将 560 表示 为 1000110000 ,算法 的 中 间 结 果 如 表 2. 3 所 示 。 


表 2.3 快速 计算 7 mod 561 的 过 程 


Fk 9 8 6 5 4 3 2 1 0 
b: 1 0 0 0 1 1 0 0 0 0 
d I 49 157 526 160 241 298 166 67 1 


所 以 75 mod 561 二 1。 
2.1.4 费 马 定理 和 欧 拉 定理 


费 马 定 理 和 欧 拉 定理 在 公 钥 密码 体制 中 占 非常 重要 的 地 位 。 
定理 2. 13( 费 马 定理 Format) 若 p 是 素数 ,日 a 是 正 整数 , 且 gcd(a,p) 二 1, 则 
ai = 1(mod p) 
例如 : 当 
a=7,p=19,gcd(a,p)=1 
7 二 49 三 11 mod 19 
7 三 121 mod 19 三 7 mod 19 
7 二 49 mod 19 夺 11 mod 19 
7* 二 121 mod 19 三 7 mod 19 
ar!=7*=7*X7:=7X11 mod 19=1 mod 19 
费 马 定 理 也 常常 称 为 费 马 小 定理 。 费 马 定理 的 另 一 种 表示 形式 如 下 。 
费 马 定理 推论 : 设 p 是 素数 ,对 于 任意 正 整 数 a,a?* 夺 a(mod p)。 
注意 费 马 定理 的 推论 不 要 求 a 和 pp 互 素 。 
例如 : 
当 4a==10,p= 二 5,gcd(a,p)= 二 5,a 和 轧 不 互 素 ,但 
a? 二 10; 志 10 mod 5 二 0 mod 5a(mod p) 
前 面 我 们 已 经 给 出 了 欧 拉 (Euler) 函数 p(n) 的 定义 。 
当 n 二 1 时 ,gp(1) 二 1; 当 n 记 1 时 , 它 的 值 gq(7) 等 于 比 n 小 而 与 n 互 素 的 正 整 数 的 个 数 。 
如 当 n==24 时 , 比 24 小 而 与 24 互 素 的 正 整数 为 1,5,7,11,13,17,19,23。 因 此 ,我 们 
有 p(24) 一 8。 
欧 拉 (Euler) 函 数 g(n) 具 有 以 下 性 质 : 
@ 如 果 nn 是 素数 , 则 g(n) 二 nn 一 1, 因 为 与 n 互 素 的 数 有 1,2.,3,…,n 一 1。 
@ 如 果 gcd(m zz) 一 1, 则 gCmn) 二 gq(n)。 
图 如 果 n= 二 pr p22…pr 是 nn 的 一 个 典型 分 解 式 , 则 p(n) 二 n(1 一 1/P1) (1 一 1/Ps)… 
(1 一 1/P。) ,其 中 pi ,ps，… ,pm 均 为 素数 。 
@ gp(pq)=9p(p) X pq) 
例如 p(21) 王 p(3X7) 王 p(3)p(7) 一 2X6 一 12, 这 12 个 数 是 1,2,4,5,8,10,11,13,16， 
下 05 
@ 假设 有 两 个 素数 p 和 gq, 那么 对 于 nn 一 pq; 有 gD) 一 pg(pq) 一 pg(p)Xg(q) 一 (p 一 1)(g 一 1)。 
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@ n==p? ,并 且 p 是 素数 时 ,有 p(n) 二 p(p 一 1)。 

@ 车 p 是 素数 , 则 pg(p') 二 p' 一 p™!。 

定理 2. 14( 欧 拉 定 理 ) ”对 于 任何 互 素 的 两 个 整数 a 和 ,有 

ar 二 1 modn 

例如 : 

当 a==3,n 二 10; p(10) 4,a”?=3*=81 三 ] mod 10 王 1 modn 

当 a=2,n=11; pg(11)=10,a”""=3*=1024 二 1 mod 11 一 1 modn 

对 于 欧 拉 定 理 , 有 

Q@ 当 n=p 时 ,有 ar ! 寺 1 mod Pp; 为 费 马 定理 。 

@ 易 见 ar 和 wa mod n( 欧 拉 定 理 的 男 一 种 形式 ,不 要 求 a 和 nn 互 素 )。 

例 2.6 求 13”" 被 60 除 所 得 的 余数 。 

解 : 因为 gcd(13,60) 王 1, 所 以 13”* 二]1(mod 60) 。 因 为 g(60)= 二 pg(2*X3X5)= 二 2X 
(3 一 1)X(5 一 1) 王 16, 而 2001= 二 125XX16 十 1, 所 以 13* 寺 1(mod 60),13”1 二 (13)!” x 
13 圭 13(mod 60) , 即 被 60 除 所 得 的 余数 为 13。 


2.1.5 素性 测试 


很 多 密码 算法 需要 随机 选择 一 个 或 者 多 个 非常 大 的 素数 ,实际 应 用 中 ,一 般 做 法 是 先生 
成 大 的 随机 整数 ,然后 确定 该 大 数 是 否 是 素数 。 目 前 还 没有 简单 有 效 的 方法 确定 一 个 大 数 
是 否 是 素数 。 下 面 介绍 Miller-Rabin 的 素性 概率 检验 法 。 

定理 2.15 如 果 p 为 大 于 2 的 素数 , 则 方程 x? 三 1(mod p) 的 解 只 有 x==1 和 x= 一 1。 

定理 2. 15 的 逆 否 命题 是 : 如 果 方 程 xz? 三 1(mod p) 有 一 解 z,。 儿 {一 1,1) ,那么 pp 不 是 
素数 。 

下 面 是 Miller-Rabin 算法 核心 部 分 如 下 。 


WITNESS(a,n) 
(1) 将 (n 一 1) 表 示 为 二 进 制 形式 bb4_1*…b。 
(2) d=<-1 
fori=k downto0 dol{ 
Za CS 
d<—(dXd) modn; 
if(d 一 1 & xz 天 1 & xz 天 1 一 1) then return TRUE; 
if 6;=1 then d<—(d Xa) mod n} 
if dA1 then return TRUE:; 
else return FALSE:; 


算法 有 两 个 输入 ,n 是 持 检 验 的 数 ,a 是 小 于 的 整数 。 如 果 算法 的 返回 值 为 TRUE， 
则 肯定 不 是 素数 ,如 果 返 回 值 为 FALSE, 则 nn 有 可 能 是 素数 。 

for 循环 后 ,有 dd 二 a”! mod n, 由 费 马 定理 可 知 ,车 7 为 素数 , 则 4 为 1, 因 此 车 4 关 1, 则 
n 不 是 素数 ,所 以 返回 TRUE。 

因为 n 一 1 圭一 1 mod n, 所 以 x 了 关 1,X 关 n 一 1, 表 示 x?: 夺 1(mod p) 有 不 在 {一 1,1) 中 的 


22 信息 安全 原理 与 技术 


根 , 因 此 ?不 为 素数 ,返回 TRUE。 

该 算法 有 以 下 的 性 质 : 对 个 不 同 的 ,重复 调用 这 一 算法 ,只 要 有 一 次 算法 返回 为 
TRUE, 就 可 以 确定 n 不 是 素数 ,如 果 算 法 每 次 返回 都 为 FALSE, 则 是 素数 的 概率 至 少 为 
1 一 2 一 ,因此 对 于 足够 大 的 ,就 可 以 非常 肯定 地 相信 ?是 素数 。 


2.1.6 ”中国 剩余 定理 


中 国 剩余 定理 是 数论 中 最 有 用 的 定理 之 一 .定理 说 明了 如 果 已 知 某 个 数 关于 一 些 两 两 
互 素 的 数 的 同 余 类 集 ,就 可 重 构 这 个 数 。 

例如 Zuo( 共 10 个 数 , 即 1,2,…,10) 中 的 每 个 数 可 通过 它们 对 2 和 5(10 的 两 个 素 因 
子 ) 取 模 所 得 的 两 个 余数 来 重 构 。 假 设 已 知 十 进 制 数 xz 的 余数 rs 二 0 且 rs 二 3, 即 x mod 2 一 0 
且 x mod 5 二 3, 则 知道 xz 是 Zi 中 的 偶数 , 且 被 5 除 后 余数 是 3, 所 以 可 得 8 是 满足 这 一 关系 
的 唯一 的 xz。 

定理 2.16( 中 国 剩余 定理 ) 设 mm ,ms,… ,mx 是 两 两 互 素 的 正 整数 , 邻 

AM = mi mz: me m1 Mi m2» M; 0. me AT 

式 中 Mi 一 My i 一 1,2,…,, 则 同时 满足 以 下 同 余 方程 组 


X=b:modm;: (i= 1,2,°.,k) 


的 唯一 正 整数 解 是 zo : 
Xo (pMM + bob MM tt bo MM) mod M 
式 中 M! 是 满足 同 余 方程 
MM;=1 modm; (i= 1,2,..,k) 
的 正 整 数 解 , 即 M! 是 M; 以 m; 为 模 的 逆 元 。 
例 2.7 求解 满足 以 下 方程 的 解 x。 


TX 三 1] mod 2 
TX 三 2 mod 3 
TX 三 3 mod 5 


ZX 三 5 mod7 
解 : M 王 mizzzzzs72 一 2X3X5X7 一 210,Mi 王 105,M: 一 70,M: 一 42,M, 王 30, 用 扩展 
欧 几 里 德 定理 可 以 求 Mi mod 2 三 1, Mz! mod 3 三 1, M3! mod 5 三 3,M7! mod 7 三 4, 所 以 
xX mod 210 硅 (1X105X1 十 2X70X1 十 3X42X3 十 5X 30X4) mod 210 夺 173, 或 者 写成 
ZX 三 173 mod 210。 


2.1.7 离散 对 数 

离散 对 数 是 许多 公 钥 算法 的 基础 。 在 给 出 离散 对 数 定义 之 前 ,我 们 先 对 本 原 根 这 一 个 
重要 概念 进行 描述 。 

1. 本 原 根 

欧 拉 定理 告诉 我 们 ,对 于 任何 互 素 的 两 个 整数 a 和 nn, 有 

ar™= 1 modn 

如 果 a 和 nn 互 素 , 则 至 少 有 一 个 整数 ,使 加 二 g(n), 所 以 欧 拉 定 理 更 一 般 的 表示 形 

式 为 
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a” 三 1 modn 
定义 2.15 假设 gcd(a,n) 二 1, 如 果 m 是 使 
a”" 三 1 modn 


成 立 的 最 小 正 整 数 , 则 称 它 是 a 对 模 n 的 指数 , 记 为 Orda 。 
定义 2.16 车 Ordsa 王 gln), 则 称 a 是 模 n 的 本 原 根 (Primitive Root) ,也 称 生成 元 。 
定理 2.17 若 a 是 模 n 的 本 原 根 , 则 1,al ,a?,…,a”” 构 成 模 的 简化 剩余 系 。 
例 2.8 求 模 7 和 模 15 的 本 原 根 。 


解 : 对 于 模 7 而 言 ,满足 gcd(a.n) 二 1 的 a 是 {1,2,3.4,5,6) ,将 它们 的 指数 列表 如 下 。 
a 1 2 3 4 5 6 
Ordra 1 3 6 SS 6 2 


从 上 表 可 以 看 到 , 当 aa 是 3 和 5 时 ,Ordra 二 pg(7), 因 此 ,3 和 5 是 模 7 的 本 原 根 。 
对 于 模 15 而 言 , 满 足 gcd(a,n) 二 1 的 a 是 {1,2,4,7,8,11,13,14) ,将 它们 的 指数 列表 
如 下 。 


a 1 2 4 深 8 i 13 14 
Ordra 1 4 2 4 4 2 4 2 


上 表 中 不 存在 一 个 a, 使 Ordisa 二 pg(15) ,所 以 模 15 没有 本 原 根 。 
上 面 例子 说 明了 不 是 所 有 整数 都 有 本 原 根 。 
定理 2.18 模 m 的 本 原 根 存 在 的 必要 条 件 是 m= 二 2,4,p" ,或 者 2p" ,此 处 p 是 奇 素数 。 
2. 本 原 根 的 测试 
通常 找 出 一 个 本 原 根 不 是 一 件 容易 的 问题 ,然而 ,如 果 知 道 p 一 1 的 因子 , 它 就 变 得 容 
易 了 。 令 qi,qz,…,dq, 是 pp 一 1 的 素 因 子 , 对 于 所 有 的 q ,qs，,…,g,, 计 算 a 了 ?4(mod p), 如 
果 对 某 个 d 的 某 个 值 其 结果 为 1, 那 么 a 不 是 一 个 本 原 根 。 如 果 对 某 个 g 的 所 有 值 其 结果 都 
不 为 1, 那么 a 是 一 个 本 原 根 。 
例 2.9 假设 p=11, 检 验 2 和 3 是 否 是 一 个 本 原 根 。 
解 : 当 p 二 11 时 ,p 一 1 二 10,p 一 1 有 两 个 素 因子 2 和 5, 现 测试 2 是 否 是 一 个 本 原 根 。 
200D/s (mod 11) 一 4 
240% D/2 (mod 11)=10 


计算 结果 没有 1, 所 以 2 是 本 原 根 。 
测试 3 是 否 是 本 原 根 : 
3‘Y-D/s (mod 11)=9 
3 V2(mod 11)=1 
所 以 3 不 是 本 原 根 。 
3. 离散 对 数 
模 运 算 用 于 指数 计算 可 以 表示 为 a* mod 7 我们 称 为 模 指 数 运算 。 模 指数 运算 的 逆 问 
题 就 是 找 出 一 个 数 的 离散 对 数 , 即 求解 zx, 使 得 


a* 三 b modn 
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定义 2.17( 离 散 对 数 ) ”对 于 一 个 整数 5b 和 素数 的 一 个 本 原 根 a, 可 以 找到 唯一 的 指 
数 x, 使 得 5b 圭 a* mod nn, 其 中 0 三 x 三 n 一 1, 指 数 z 称 为 5 的 以 a 为 基数 的 模 n 的 离散 对 数 。 
例如 ,如 果 素 数 n==11, 有 三 个 本 原 根 2,6,8。 

当 a= 二 2,x 二 9, 可 以 求 出 模 数 5 二 6。 

当 4a==6,x 二 7, 可 以 求 出 模 数 6 二 8。 

当 a 王 8,z 一 4, 可 以 求 出 模 数 b= 二 4。 

当 a==2,6 二 3, 可 以 求 出 离散 对 数 zx 一 8。 

当 a= 王 6,0 王 5, 可 以 求 出 离散 对 数 zx 一 6。 

当 a 二 8,6 二 10, 可 以 求 出 离散 对 数 zx 一 5。 

不 是 所 有 的 离散 对 数 都 有 解 。 当 比较 小 时 ,容易 验证 x 是 否 有 解 ,但 是 当 n 很 大 时 
(如 1024 位 ), 求 离散 对 数 就 很 难 。 


2.1.8 二 次 剩余 


定义 2. 18( 二 次 剩余 ) ”如果 gcd(a,m)= 二 1, 并 且 x? 硅 a(mod mm) 有 人 解 , 则 称 a 是 m 的 二 

次 剩余 (也 称 平方 剩余 ) ,否则 , 称 a 是 m 非 二 次 剩余 。 满 足 x 三 a(mod m) 的 xz 称 为 模 m 的 
一 个 平方 根 。 

例如 ,车 m= 二 7, 模 m 的 完全 剩余 集合 为 {1,2,3,4,5,6})。 

Zz! 三 1 mod 7 有 解 ,z 一 1,z 一 6; 

ZX! 三 2 mod 7 有 解 ,zx 一 3,z 一 4; 

ZX! 三 3 mod 7 无 解 ; 

XxX’: 三 4 mod 7 有 解 ,z 一 2,z 一 5; 

ZX!: 三 5 mod 7 无 解 ; 

三 6 mod 7 无 解 ; 
可 见 1,2,4 共 三 个 数 是 模 7 的 二 次 剩余 ,3,5 和 6 是 模 7 的 非 二 次 剩余 。 

二 次 剩余 具有 下 面 的 性 质 : 

(1) 如 果 mx 是 素数 , 则 整数 1,2,…,m 一 1 中 正好 有 (Gm 一 1)/2 个 是 模 m 的 二 次 剩余 ,其 
余 的 (m 一 1)/2 个 是 模 m 的 非 二 次 剩余 。 

(2) 如 果 是 a 的 模 一 个 二 次 剩余 ,那么 a 恰好 有 两 个 平方 根 ,其 中 一 个 在 0~~Gm 一 1)/2 
之 间 ; 男 一 个 在 (mm 一 1)/2 一 (m 一 1) 之 间 。 

(3) 如 果 m 是 两 个 素数 p 和 g 之 积 , 那 么 模 m 恰好 有 (p 一 1)(g 一 1)/4 个 二 次 剩余 ,有 
3(p 一 1)(g 一 1)/4 个 非 二 次 剩余 。 

(4) 当 m 是 复合 数 时 ,如 果 m 的 分 解 未 知 , 则 求 方程 x? 寺 a(mod m) 的 解 是 困难 的 。 


2.2 代数 基础 


有 限 域 在 现代 密码 学 中 的 地 位 越 来 越 重要 .本 节 先 简单 介绍 群 、 环 和 域 等 概念 ,然后 详 
细 介 绍 有 限 域 中 的 运算 。 
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2.2.1 群 和 环 


1. 群 

群 G 有 时 记 做 {G,，), 是 定义 了 一 个 二 元 运算 的 集合 ,这 个 二 元 运算 可 以 表示 为 * 
具有 一 般 性 ， 可 以 指 加 法 ， 乘法 或 者 其 他 的 数学 运算 ).G 中 每 一 ee 
G 中 的 元 素 (a* 5b) ,并 满足 以 下 公理 。 

(Al1) 封闭 性 : 如 果 a 和 2 都 属于 G, 则 a ee 

(A2) 结合 律 : 对 于 G 中 任意 元 素 a ,b,c, 都 有 a。* (6b，c) 二 (a*，6b)。，c 成立。 

(A3) 单位 元 : G 中 存在 一 个 es *e 二 ea 一 a 成 立 。 

(A4) 逆 元 : 对 于 G 中 任意 元 素 a,G 中 都 存在 一 个 元 素 a ,使 得 式 a .ww * a==e 


如 果 一 个 群 的 元 素 个 数 是 有 限 的 , 则 该 群 称 为 有 限 群 。 并 且 群 的 阶 等 于 群 中 元 素 的 个 
数 。 否 则 , 称 该 群 为 无 限 群 。 

一 个 群 如 果 还 满足 以 下 条 件 , 则 称 为 交换 群 ( 或 称 Able 群 ) 。 

(A5) 交换 律 : 对 于 G 中 任意 的 元 素 a ,6, 都 有 a* 5 一 5， a 成立。 

例如 ,在 加 法 运算 下 的 整数 集合 是 一 个 交换 群 ,在 乘法 运算 下 的 非 零 实数 集合 是 一 个 交 
换 群 。 当 群 中 运算 符 是 加 法 时 ,其 单位 元 是 0,a 的 逆 元 是 一 a, 并 且 减 法 用 以 下 的 规则 定义 : 
Q& 一 0 一 4 十 (一 0) 。 

剩余 类 集合 Z, 关于 模 n 加 法 运算 形成 一 个 阶 为 n 的 加 法 群 。Z, 关于 模 n 乘法 运算 不 

一 个 群 ,因为 不 是 所 有 的 元 素 都 有 乘法 逆 。 

在 群 中 定义 求 寡 运算 为 重复 运用 群 中 的 运算 ,如 wo =a。a。a, 且 定义 w%" 王 e 为 单位 元 ， 
并 且 o “二 (a’)"。 如 果 群 中 的 每 一 个 元 素 都 是 一 个 固定 元 素 cCeEG) 的 宕 性 (A 为 整数 )， 
则 称 群 G 是 循环 群 。 我 们 认为 元 素 a 生成 了 群 G ,或 者 说 a 是 群 G 的 生成 元 。 循 环 群 总 是 
交换 群 , 它 可 能 是 有 限 群 或 者 无 限 群 。 

2. 环 

环 尺 有 时 记 为 {R, 十 ,X), 是 一 个 有 两 个 二 元 运算 的 集合 ,这 两 个 二 元 运算 分 别称 为 加 
法 和 乘法 , 且 对 于 RR A dtr eter 

(Al-A6) R 关 于 加 法 是 一 个 交换 群 ; 也 就 是 说 ,R 满足 所 有 从 Al 一 A5 的 原则 。 
此 种 情况 下 的 加 法 群 ,我 们 用 0 表示 其 单位 元 ,一 a 表示 a 的 逆 元 。 

(M1) 乘法 的 封闭 性 : 如 果 a 和 2 都 属于 R, 则 ab 也 属于 R。 

(M2) 乘法 的 结合 律 : 对 于 R 中 任意 元 素 a ,6,c, 有 albc) 二 (ab)c 成 立 。 

(M3) 分 配 律 : 对 于 R 中 任意 元 素 a ,b,c, 式 a(b 十 c) 二 ab 十 ac 和 式 (a 十 b)c 二 ac 十 bc 总 
成 立 。 
本 质 上 说 , 环 就 是 一 个 集合 .我 们 可 以 在 其 上 进行 加 法 、 减 法 和 乘法 ,而 不 脱离 该 集合 
环 如 果 还 满足 以 下 条 件 则 成 为 交换 环 。 
(M4) 乘法 的 交换 律 : 对 于 R 中 的 任意 元 素 a .5, 有 ab 二 ba 成 立 。 
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在 交换 环 的 基础 上 ,满足 以 下 公理 的 环 叫 做 整 环 。 

(M5) 乘法 单位 元 : 在 R 中 存在 元 素 1, 使 得 对 于 R 中 的 任意 元 素 a, 有 al 一 la 一 4 
成 立 。 

(M6) 无 零 因子 : 如 果 有 R 中 元 素 a ,6, 且 ab 二 0, 则 必 有 a 二 0 或 6 二 0。 

例如 在 整数 集合 Z 通常 的 加 法 和 乘法 运算 形成 一 个 交换 环 。Z, 关于 模 n 加 法 和 乘法 
形成 一 个 交换 环 。 


2.2.2 域 和 有 限 域 


1. 域 

域 F 有 时 记 为 { 开 ,十 ,X} ,是 有 两 个 二 元 运算 的 集合 ,这 两 个 二 元 运算 分 别称 为 加 法 和 
乘法 , 且 对 于 下 中 的 任意 元 素 a ,b,c, 满 足以 下 公理 。 

(Al-M6) 下 是 一 个 整 环 , 也 就 是 说 下 满足 从 Al 一 A5 以 及 从 M1l 一 M6 的 所 有 原则 。 

(M7) 乘法 逆 元 : 对 于 下 中 的 任意 元 素 a( 除 0 以外),F 中 都 存在 一 个 元 素 a-! ,使 得 式 
aa 一 (ci)a 一 1 成 立 。 

从 本 质 上 说 , 域 就 是 一 个 集合 ,我 们 可 以 在 其 上 进行 加 法 ,减法 .乘法 和 除法 而 不 脱离 该 
集合 。 除 法 又 按 以 下 规则 来 定义 : a/5 二 a(b-!)。 如 有 理 数 集合 、 实 数 集合 和 复数 集合 都 是 
域 ,但 整数 集合 不 是 ,因为 使 用 除法 得 到 的 分 数 已 经 超出 整数 集合 。 

根据 域 中 元 素 的 个 数 是 不 是 有 限 ,我 们 可 以 把 域 划 分 成 有 限 域 和 无 限 域 。 无 限 域 在 密 
码 学 中 没有 特别 的 意义 ,然而 有 限 域 却 在 许多 密码 编码 学 中 扮演 着 重要 的 角色 。 

定义 2.19 有 限 域 中 元 素 的 个 数 称 为 有 限 域 的 阶 。 

定理 2.19 有 限 域 的 阶 必 为 素数 p 的 宕 思 ,7 为 正 整 数 。 

定理 2.20 对 任意 素数 p 和 正 整 数 , 存 在 p" 阶 的 有 限 域 , 记 为 GF( 加 )。 当 时 2 一 1， 
有 限 域 GF(p) 也 称 素 域 。 

在 密码 学 中 ,最 常用 的 域 一 般 是 素 域 GF(p) 或 者 阶 为 2” 的 GF(2”) 域 。 

2. 有 限 域 GF(p) 

给 定 一 个 素数 p ,元素 个 数 为 p 的 有 限 域 GF(p) 定 义 为 整数 {0,1,…,p 一 1} 的 集合 Z,， 
其 运算 为 模 p 的 算术 运算 。 

在 模 运 算 一 节 中 我 们 发 现 , 在 个 整数 构成 集合 Z, 在 模 n 算术 运算 下 ,构成 一 个 交换 
环 。 但 Z, 中 不 是 每 个 元 素 都 有 乘法 逆 元 ,只 有 当 一 个 整数 与 n 互 素 时 ,该 整数 才 存 在 乘法 
逆 元 。 若 为 素数 , 则 Z, 中 所 有 的 非 零 整数 都 与 4 互 素 ,因此 2Z, 中 所 有 非 零 整数 都 有 乘法 
逆 元 。GF(p) 定 义 的 集合 Z 中 ,由 于 p 是 素数 ,可 见 Z。 是 一 个 有 限 域 。 

最 简单 的 有 限 域 是 GF(2) ,该 域 元 素 的 个 数 是 2, 它 们 分 别 是 0 和 1, 在 GF(2) 上 的 加 运 
算 等 价 于 异 或 运算 , 乘 等 价 于 逻辑 与 运算 。 

图 2.2 是 在 有 限 域 GF(7) 中 的 算术 运算 ,这 是 一 个 阶 为 7, 采用 模 7 运算 , 它 满足 域 的 
所 有 性 质 。 需 要 注意 的 是 ,前 面 介绍 的 图 2. 1 只 是 表示 集合 Zs 中 模 8 运算 ,其 中 的 非 零 整 
数 不 一 定 有 乘法 逆 元 ,因此 不 是 域 。 
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0|o|l|1il2|3|14|15|56 olololololololo 0 | 0 | 一 

||| 和 | 者: 污 省 8 | 区 二 | 和 || 多 || 起 | 二 | 性 L161 

-二 医 浏 医 司 区 避 区 滞 攻 到 区 二 区 | 二 区 局 医 芭 医 到 区 到 区 国 医 汪 区 本 区 光 医 

:本 医 台 区 到 区 汉 区 到 区 省 区 台 匡 : 二 区 国医 到 区 浏 区 为 攻 动 医 副 区 : 3 | 二 | 5 

医 司 医 鲁 区 避 攻 避 医 量 医 测 医 : | 4|3|2 

二 棋 到 医 滞 权 可 医 到 医治 医 二 区 slolsls|lyls|l wl [区 芭 区: 

@ | | | Ll | | @° | 0 | :6 5: | 4 | | 2 人 | 川 雹 

(a) 模 7 加 法 (b) 模 7 乘法 (0) 模 7 的 加 法 逆 元 和 乘法 递 元 
2.2 GF(7) 中 算术 运算 
3. 域 上 多 项 式 


定义 2.20 域 玉 上 的 n(n 三 0) 次 多 项 式 表示 为 
fz) = asz’ 十 az 十 … 十 az 十 ao 一 yaizi 
i=0 


其 中 系数 a; 是 域 F 中 的 元 素 。 
若 ai; 和 关 0, 称 ?为 该 多 项 式 的 次 数 ,并 称 a 为 首 项 系数 。 首 项 系数 为 1 的 多 项 式 称 为 首 1 
多 项 式 。 域 上 x 多项式 全 体 集 合 记 为 下 [z]。 


多 项 式 运算 包括 加 法 ,减法 \ 乘 法 和 除法 . 设 域 下 上 的 多 项 式 e(z) 二 aiz' 和 多 项 式 
bx) 一 > az 那么 在 域 下 上 的 多 项 式 加 法 运算 定义 为 


M 
az) 十 6(z) = Da to)r 


其 中 ,M 二 maxCmsn), 当 i>n 时 , 取 a;=0; 当 i 六 >m 时 , 取 b= 二 0。 
乘法 运算 定义 为 
ntm i 
azr) XpCr) = | Da ]e 


t=0 \j 


其 中 , 当 i>n 时 , 取 a,=0; 当 i 六 m 时 , 取 b= 二 0。 

例如 , 令 a(z) 王 zs 十 z2 十 2,0(z) 一 zz 一 十 1, 则 

az) 十 0(z) 一 Z3 十 2z2 一 Z 十 3 

ED 一 有 (2 二 好 十 之 十 1 

WryXb(sI) = 

定理 2.21 设 a(z) 和 6b(x) 是 域 玉 上 的 多 项 式 , 且 b(x) 隆 0, 则 存在 唯一 的 一 对 多 项 式 
g(x),r(r)EF(x), 使 


ar) = g(r)b(r) +r(r) 
其 中 q(x) 为 商 式 ,r(x) 为 余 式 ,r(x) 的 次 数 小 于 b(x) 的 次 数 。 
多 项 式 除法 具有 与 普通 除法 一 样 的 长 除法 。 例 如 ,a(x) 二 x 十 zx? 十 2,6(X) 二 xX? 一 x 十 1， 
那么 ,aeCzr)/ b(zx) 得 到 一 个 商 式 g(x) 二 zx 十 2 和 一 个 余 式 r(x) 二 x+。 过程 如 下 : 
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更 

如 整数 运算 类 似 , 我 们 可 以 将 余 式 ~(z) 写 成 wCz) mod 5(7x), 称 为 a(z) 模 4b(x),b(x) 
称 为 模 多 项 式 。 

定义 2.21 设 a(z) 和 06(Cz) 是 域 下 上 的 多 项 式 。 

(1) 设 45(x) 闫 0, 车 存在 g(x) 使 a(x) 二 g(x)b(z), 则 称 5(x) 是 a(x) 的 因 式 或 者 除 式 。 
b(z) 整 除 a(x), 记 为 b(x) |a(x)。 

(2) 设 aCz) 和 0Cz) 不 全 为 0,aCz) 和 00z) 的 次 数 最 高 的 首 1 公 因 式 称 为 它们 的 最 高 公 
因 式 , 记 为 gcd(a(x).,6(X))。 若 gcd(a(z).0(7)) 二 1, 称 a(x) 和 6(x) 互 素 。 

(3) 车 存在 次 数 大 于 或 者 等 于 1 的 g(rz) 和 6(zx), 使 a(zx) 二 q(x)b(z), 则 称 a(x) 为 可 约 
多 项 式 ,否则 称 a(x) 为 不 可 约 多 项 式 (也 称 既 约 多 项 式 )。 

例如 ,GF(2) 上 的 多 项 式 a(x) 二 x 十 1 是 可 约 多 项 式 , 因 为 a(x) 二 x! 十 1 二 (x 十 1) 《xi 
妇 十 十 1)。 而 多 项 式 a(x) 二 x 十 x 十 1 则 是 不 可 约 多 项 式 , 因 为 它 没有 一 个 因 式 。 

4. 有 限 域 GF(2”) 

前 面 我 们 提 到 有 限 域 中 元 素 个 数 必须 是 p" ,其 中 p 是 素数 ,n 是 正 整 数 。 当 元 素 个 数 
为 p 的 有 限 域 在 Z, 上 的 模 运 算 时 ,能 够 满足 域 的 所 有 条 件 。 但 以 为 p" 模 的 模 运算 不 一 定 
能 产生 域 。 下 面 用 不 可 约 多 项 式 构造 一 个 这 样 的 域 。 

对 于 FLz] 中 的 每 个 不 可 约 多 项 式 p(x), 可 以 构造 一 个 域 F[xj]yc。 

设 p(x) 是 FLxj 中 次 不 可 约 多 项 式 , 令 FL[xjpcw 为 FLxj 中 所 有 次 数 小 于 nn 的 多 项 式 
集合 , 即 


FLzjyxs) = arizx" 十 assx" 十 … 十 aiZx 十 ao 
其 中 a;E 下 , 即 在 集合 {0,1,…,p 一 1} 上 取 值 。 
定义 F[xjsw 上 的 二 元 运算 加 法 和 乘法 运算 如 下 : 
a(Xz Dox)= ar) i+o(r)) mod pz) 一 aCz) 十 0Cz) 
a(xr) zr)= (a(r)b(r)) mod plx) 
域 FLzjuwe 中 的 单位 元 和 零 元 分 别 是 下 中 的 单位 元 和 零 元 。 
上 面 的 运算 定义 可 以 看 到 
(1) 该 运算 遵循 基本 代数 规则 中 的 普通 多 项 式 运算 规则 。 
(2) 系数 运算 以 p 模 , 即 遵循 有 限 域 上 2Z， 的 运算 规则 。 
(3) 乘法 运算 是 两 个 多 项 式 相 乘 结果 再 模 一 个 不 可 约 多 项 式 p(x) ,如果 两 个 多 项 式 相 
乘 结果 是 次 数 大 于 "一 1 的 多 项 式 , 它 将 除 以 次 数 为 n 的 不 可 约 多 项 式 p(x) 并 取 余 。 
定理 2.22 《FL[xjycw , 电 , 四 ) 是 域 当 且 仅 当 p(x) 是 下 上 的 不 可 约 多 项 式 , 其 中 下 是 有 
限 域 。 
特别 地 ,在 GF(2”) 中 ,FL[zjzcw 中 所 有 次 数 小 于 的 多 项 式 表 示 为 
en a 
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系数 a; 是 二 进 制 数 ,该 多 项 式 可 以 由 它 的 nn 个 二 进 制 系数 唯一 地 表示 。 因 此 GF(2") 
中 的 每 个 多 项 式 都 可 以 表示 成 一 个 位 的 二 进 制 整数 。 

下 面 以 高 级 加 密 标 准 (AES) 中 的 有 限 域 GF (2 ) 为 例 ,说 明 其 上 的 运算 。 不 可 约 多 项 式 
为 p(x) 二 x 十 x 十 x 十 x 十 1 ,假设 多 项 式 a(x) 二 x 十 x 十 x? 十 xX 十 1,6(Xx) 二 Xx? 十 x 十 1。 

加 法 运算 过 程 为 
a(z) DBEo(z) = altr)+b(z) = 二 十 十 x 十 1 十 7 十 十 1 二 十 人 十 十 

a(xr)b(r) 于 

由 于 a(xz) 和 w(xz) 相 乘 的 多 项 式 次 数 大 于 ,将 它们 相 乘 结果 再 除 不 可 约 多 项 式 p(x)， 
可 得 商 为 x 十 x? ,余数 为 xz? 十 x 十 1, 因 此 a(x)@b(x)==a(x)b(x) mod p(x)= 二 x? 十 Xs 十 1。 

用 十 六 进 制 表示 为 157}C9183} 一 {C1)》 

用 二 进 制 表 示 为 (01010111)G9(10000011) 一 (11000001) 

说 明 : 在 上 面 的 十 六 进 制 表 示 中 ,是 用 一 个 十 六 进 制 字符 表示 4 位 二 进 制 数 ,一 个 字 节 
的 二 进 制 数 用 括号 括 起 来 的 两 个 十 六 进 制 字符 表示 。 

从 上 面 的 例子 我 们 也 可 以 发 现 ,多 项 式 加 法 是 将 对 应 的 系数 分 别 相 加 ,GF(2") 中 两 个 
多 项 式 加 法 和 减法 等 同 于 按 位 异 或 ,需要 注意 的 是 加 法 不 进位 ,减法 不 借 位 。 

例如 ,假设 多 项 式 a(x)= 二 x 十 x 十 x 十 x 十 1,6(x)= 二 xXx? 十 x 十 1 


(x 十 x 十 十 xX 十 1) 十 (zx’' 十 xz 十 1) TX 十 xX 十 Xx 十 zx? (多 项 式 表示 ) 
(01010111) 四 (10000011) = (11010100) (二 进 制 表示 ) 
{57} ® {83} = {D4} (十 六 进 制 表示 ) 


2.3 ”计算 复杂 性 理论 


计算 复杂 性 理论 提供 了 一 种 分 析 不 同 密码 技术 和 算法 的 计算 复杂 性 方法 。 它 是 密码 系 
统 安 全 性 定义 的 理论 基础 ,也 是 安全 的 现代 密码 系统 构造 方法 的 理论 依据 。 计 算 复杂 性 理 
论 给 出 了 求解 一 个 问题 的 计算 是 “容易 "还 是 “困难 ”的 确切 定义 ,这 有 助 于 确定 一 个 密码 算 
法 的 安全 强度 。 假 如 破译 一 个 密码 算法 所 花费 的 时 间或 者 空间 代价 超出 了 密码 本 身 所 保密 
内 容 的 价值 ,破译 就 没有 意义 。 计 算 机 复杂 性 理论 涉及 算法 的 复杂 性 和 问题 的 复杂 性 。 


2.3.1 问题 的 复杂 性 


一 个 问题 的 复杂 性 是 由 可 解 这 个 问题 的 算法 的 计算 复杂 性 所 决定 。 由 于 可 解 一 个 问题 
的 算法 可 能 有 多 个 ,它们 的 计算 复杂 性 也 各 不 相同 , 故 在 理论 上 定义 一 个 问题 的 计算 复杂 性 
为 可 解 该 问题 的 最 有 效 算法 的 计算 复杂 性 。 由 于 要 证 明 一 个 算法 是 解 某 一 问题 的 最 有 效 算 
法 是 很 困难 的 ,因此 在 实际 应 用 中 ,只 能 把 解 该 问题 的 已 知 最 有 效 算法 的 计算 复杂 性 粗 分 为 
三 类 , 即 P 类 (确定 性 多 项 式 时 间 可 解 类 )、NP 类 (不 确定 性 多 项 式 时 间 可 解 类 ) 和 NP 完全 
类 ( 记 为 NPC, 不 确定 性 多 项 式 时 间 可 解 完 全 类 )。P 类 问题 称 为 易 解 问题 ,NP 类 问题 称 为 
难 解 问题 ,NPC 问题 称 为 困难 问题 。 由 于 NPC 问题 不 存在 有 效 的 算法 ,现在 的 密码 算法 的 
安全 性 都 是 基于 NPC 问题 的 ,这 样 , 如 果 攻 击 者 想 破译 该 密码 就 相当 于 解 一 个 NPC 问题 。 
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2.3.2 算法 的 复杂 性 


算法 的 复杂 性 表示 算法 在 实际 执行 时 所 需 计算 能 力 方面 的 信息 ,通常 它 由 该 算法 所 要 
求 的 最 大 时 间 与 储存 空间 来 确定 。 算 法 所 需 的 时 间 和 空间 往往 取决 于 问题 实例 的 规模 n(n 
表示 了 该 实例 的 输入 数据 长 度 , 或 者 叫 输入 尺寸 ), 同 时 ,算法 在 用 于 相同 规模 的 不 同 实例 
时 ,其 时 间 和 空间 需求 也 可 能 会 有 很 大 差异 ,因此 ,实际 中 我 们 常常 研究 的 是 算法 关于 输入 
规模 n 的 所 有 实例 的 时 间 与 空间 需求 的 平均 值 。 

算法 的 复杂 性 可 以 用 以 下 关于 输入 规模 的 函数 来 表示 : T(n) (平均 时 间 复 杂 性 函数 ) 
与 S(n) (平均 空间 复杂 性 函数 ) 。 它 们 分 别 反映 了 算法 的 时 间 和 空间 需求 。 空 间 复 杂 性 与 
时 间 复 杂 性 通常 可 以 相互 转化 。 通 常 ,可 实现 的 算法 都 自动 地 引入 了 对 空间 复杂 性 函数 
S(n) 的 某 种 限制 ,比如 SQ) 不 超过 的 某 个 低 次 多 项 式 , 所 以 一 般 情况 下 ,我 们 特别 注重 于 
对 算法 时 间 复 杂 性 函数 T(z) 的 研究 。 

通常 我 们 用 O 的 符号 来 衡量 算法 的 复杂 程度 , 它 表 示 了 算法 复杂 性 的 数量 级 。 如 果 存 
在 常数 a 二 0 ,使 TO 所 wg(02)CY70) ,一 般 还 要 求 g(n) 是 满足 前 述 条 件 的 函数 中 阶 次 尽 
可 能 小 的 函数 ,这 时 ,我 们 称 算法 的 时 间 复 杂 性 为 O(g(n))。 

例如 ,如 果 g(n) 是 的 一 个 1 次 多 项 式 , 即 g(z) 王 at 十 ai 和 十 … 十 2 十 ao, 则 
T(n) 二 O(n'), 即 算法 复杂 性 的 数量 级 是 多 项 式 级 的 。 

算法 按照 其 时 间 ( 或 空间 ) 复 杂 性 可 分 为 多 项 式 时 间 算 法 、 指 数 时 间 算 法 和 超 多 项 式 时 

如 果 算 法 的 时 间 复 杂 性 为 002) ,其 中 1 为 常数 ,n 是 输入 规模 , 则 称 该 算法 是 多 项 式 时 间 
算法 。 若 :一 0, 则 称 算法 是 常数 的 ; 车 1 二 1, 则 称 算法 是 线性 的 ; 车 :一 2, 则 称 算法 是 二 次 的 。 

如 果 算 法 的 复杂 性 为 OC(i”) ,其 中 上 为 大 于 1 的 常数 ,f(n) 是 输入 规模 的 多 项 式 函 
数 , 则 称 该 算法 是 指数 时 间 算 法 。 当 f(xw) 是 大 于 常数 而 小 于 线性 的 函数 时 ,如 时 间 复 杂 性 
为 Ol(eww ) 的 算法 , 称 为 超 多 项 式 时 间 算 法 。 

如 果 算 法 的 时 间 复 杂 性 为 0(2") , 称 为 指数 时 间 算 法 。 

表 2.4 显示 了 不 同时 间 复 杂 性 算法 的 复杂 性 和 时 间 需 求 之 间 的 关系 。 它 是 假设 输入 规 
模 "一 10* ,计算 机 以 1 秒 内 执行 10° 个 基本 操作 时 的 计算 结果 。 


表 2.4 不 同时 间 复 杂 性 算法 的 时 间 需 求 


算法 类 型 复 杂 性 操作 次 数 时 间 需 求 
线性 的 On) 0° 1 秒 

二 次 方 的 Ol) om 11.6 天 

三 次 方 的 OO) 68 32000 年 

超 多 项 式 的 Olevrim ) 约 1.8X10'% 6X101so 年 
指数 的 Om) Om 3X1020lok 年 


从 上 表 可 以 看 出 ,如 果 一 个 密码 算法 具有 指数 级 的 时 间 复 杂 性 ,那么 可 以 认为 它 是 计算 
上 不 可 行 的 。 例 如 对 一 个 密码 算法 的 穷 举 攻击 的 时 间 复 杂 性 是 0(2") ,其 中 好 是 密 钥 长 度 。 
如 果 n 足够 大 ,如 n= 二 128, 以 1 秒 105 次 的 速度 尝试 ,大 约 需 要 5.4X10* 年 时 间 , 因 此 ,可 以 
认为 穷 举 这 样 的 密 钥 在 计算 上 是 不 可 行 的 。 
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2.4 单 向 函数 


单 向 和 陷 门 单 向 函数 是 公 钥 密码 学 的 核心 :可 以 说 公 钥 密码 体制 的 设计 就 是 单 向 陷 门 
函数 的 设计 。 

定义 2.22 令 函 数 f 是 集 A 到 集 B 的 映射 ,以 f: A 一 B 表示。 若 对 任意 zx1 关 zx2 za， 
ZsEA, 有 f(zi) 关 f(zz), 则 称 了 为 单 射 .或 可 逆 的 函数 。 

三 为 可 道 的 充 要 条 件 是 ,存在 函数 g: B 一 A, 使 对 所 有 xEA 有 g[f(x)]==x。 

定义 2.23( 单 向 函数 ) 一 个 可 逆 函 数 /: A 一 B, 若 它 满足 : 

@ 对 所 有 xzEA, 易 于 计算 f(x)。 

@ 对 几乎 所 有 xEA, 由 f(z) 求 z 极 为 困难 ,以 至 于 实际 上 不 可 能 做 到 , 则 称 了 为 单 向 
函数 (One-way Function)。 

定义 中 的 “极为 困难 ”是 对 现 有 的 计算 资源 和 算法 而 言 。 

定义 2.24( 单 向 陷 门 函数 ) 

一 可逆” 函数 下 若 满足 下 列 二 条 件 , 则 称 下 为 单 向 陷 门 函数 (One-way Trapdoor 
Function ) 

@ 对 于 所 有 属于 域 下 中 的 任 一 xz ,容易 计算 FCz) 一 y。 

@ 对 于 几乎 所 有 属于 域 下 中 的 任 一 y ,除非 获得 陷 门 信息 (Trapdoor) ,否则 求 出 xz, 使 
得 z=F 1(y) 在 计算 上 不 可 行 ,fF ! 为 下 的 道 函 数 。 

单 向 函数 是 求 逆 困 难 的 函数 ,而 单 向 陷 门 函数 (One-way Trapdoor Function) ,是 在 不 
知 隐 门 信息 下 求 逆 困 难 的 函数 ,当知 道 陷 门 信息 后 , 求 逆 是 易于 实现 的 。 

实际 上 给 单 向 陷 门 函数 下 定义 很 棘手 ,因为 如 下 原因 。 

@ 隐 门 函数 其 实 就 不 是 单 向 函数 ,因为 单 向 函数 是 在 任何 条 件 下 求 逆 都 是 困难 的 。 

@ 陷 门 可 能 不 止 一 个 ,通过 试验 ,一 个 个 陷 门 就 可 容易 地 找到 逆 。 如 果 陷 门 信息 的 保 
密 性 不 强 , 求 逆 也 就 不 难 。 

公 钥 密码 的 原理 就 是 基于 单 向 陷 门 函数 ,加 密 是 容易 的 方向 ,任何 人 都 可 以 利用 公开 密 
钥 加 密 信息 ,而 解密 是 难 的 方向 , 它 设计 得 非常 困难 ,以 至 于 车 没有 密 钥 ( 陷 门 信息 ) ,即使 用 
最 快 的 计算 机 在 人 类 有 限 的 时 间 内 也 不 能 解 开 加 密 的 信息 。 

目前 ,还 不 能 从 理论 上 证 明 单 向 函数 是 存在 的 。 单 向 函数 存在 性 的 证 明 将 意味 着 计算 
机 科学 中 一 个 最 具 挑 战 性 的 NP 完全 问题 ,而 关于 NP 完全 性 的 理论 却 不 足以 证 明 单 向 函 
数 的 存在 。 不 过 ,现实 中 却 存在 几 个 候选 单 向 函数 。 说 他 们 是 “候选 ", 是 因为 他 们 表现 出 了 
单 向 函数 的 性 质 , 但 还 没有 办 法 从 理论 上 证 明 它 们 一 定 是 单 向 函数 。 

下 面 给 出 一 些 常见 的 候选 单 向 函数 。 

1. 离散 对 数 

给 定 一 大 素数 p,p 一 1 含 另 一 大 素数 因子 9。 整 数 g,1 二 gp 一 1。 已 知 z, 求 y= 二 g* mod p 
容易 ,最 多 需要 [logzx] 十 w(x) 一 1 次 乘法 ,w(xz) 为 x 中 所 有 1 的 个 数 。 如 z 一 15, 即 zx 一 (1111)，， 
ro(z) 一 4, 则 s5 一 (((82)g)2。g)2。g mod p, 只 需要 3 十 4 一 1 一 6 次 乘法 。 
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若 已 知 y,g,p, 求 x+ 二 logsy mod 为 离散 对 数 问题 。 目 前 最 快 方法 需要 L(p) 一 
exp{(lnpln(lnp))22)} 次 运算 。 

当 p= 二 512 位 时 ,L(p) 约 为 2* 守 107 ,计算 上 不 可 行 。 因 为 2” 守 10”, 计 算 要 10 年 。 

2. 因数 分 解 问题 

给 定 大 素数 p 和 4g, 求 n 王 pg, 只 要 一 次 乘法 。 

若 给 定 nn, 求 p 和 qd, 即 为 因数 分 解 问题 ,最 快 方法 需要 T(z) 王 exp{c(lnzln(Clnz))22》 
次 运算 ,其 中 < 为 大 于 1 的 正 整数 。 表 2. 5 给 出 了 素 因 子 分 解 所 需 时 间 。 在 实际 密码 算法 
应 用 中 ,整数 一 般 取 309 位 十 进 制 数 。 


表 2.5 素 因 子 分 解 所 需 时 间 


整数 n 的 十 进 制 位 数 因子 分 解 的 运算 次 数 所 需 计 算 时 间 ( 每 微 秒 一 次 ) 

50 1.4X101 3.9 小 时 

75 9.0X102 104 天 

100 2..3X 0% 74 年 

200 ,2X10" 3.8X10? 年 

300 15X10* 4.0X105 年 

500 tSX 10 4.2X105 年 

3. 背包 问题 


给 定 有 限 个 自然 数 序列 集合 B= 《61,65s，…,b,) 及 二 进 制 序列 z= (zi xo， zw)， 
ziE(0,1), 求 S= 2)xwb; 最 多 只 需 n 一 1 次 加 法 ; 但 车 给 定 B 和 S, 求 x 则 非常 困难 。 穷 举 
时 有 2" 种 可 能 , 当 很 大 时 为 计算 上 不 可 行 。 


2.5 关键 术语 


因子 (Divisors) 

最 大 公 因 子 (Greatest Common Divisor) 
素数 (Prime Number) 

同 余 (Congruence) 

模 运 算 (Modular Arithmetic) 
离散 对 数 (Discrete Logarithm) 
本 原 根 (Primitive Root) 

二 次 剩余 (Quadratic Residue) 
群 (Groups) 

有 限 群 (Finite Groups) 

环 (Rings) 

域 (Fields) 

有 限 域 (Finite Fields) 
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单 向 函数 (One-way Function) 
单 向 陷 门 函数 (One-way Trapdoor Function) 


2.6 习 题 


2.1 列 出 小 于 30 的 素数 。 

2.2 若是 大 于 1 的 整数 , 则 a 的 大 于 1 的 最 小 因子 一 定 是 素数 。 
2.3 ”如 果 n|l(a 一 5) ,证 明 = mod n。 

2.4 证明 下 面 等 式 : 

(1) (atb) mod m=((a mod m)+(b mod m)) mod m 

(2) (a—b) mod m=((a mod m)—(b mod m)) mod m 

(3) (aXb) mod m=((a mod m)X(b mod m)) mod m 

(4) (aX (BbH)) mod m=(((aXb) mod m)i+((aXce) mod m)) mod m 
2.5 证 明 5% 一 1 是 56 的 倍数 。 

2.6 对 于 整数 39 和 63 ,回答 下 面 问题 

(1) 它们 是 否 互 素 。 

(2) 用 欧 几 里 德 算法 求 它们 的 最 大 公 因 子 。 

(3) 25-! 圭 zx mod 15 是 否 有 解 。 

2.7 用 欧 几 里 德 算 法 求 gcd(1997,57) 和 gcd(24140,16762) 。 

2.8 用 扩展 欧 几 里 德 算法 求 下 列 乘法 逆 元 。 

(1) 1234 mod 4321 

(2) 24140 mod 40902 

(3) 550 mod 1769 

2.9 用 快速 指数 模 运 算 方法 计算 2008” mod 77 和 3 mod 77 。 
2.10 用 费 马 定理 求 322 (mod 11) 。 

2.11 计算 下 面 欧 拉 函 数 。 

(1) p(41) .9(27) 、.p(231) 、.p(440) 。 

(2) p(2)p(6) 和 p(3)p(4) , 哪 一 个 等 于 p(12) 。 

2.12 求解 下 列 一 次 同 余 方 程 。 

(1) 3x 三 10(mod 29) 

(2) 40zx 三 191(mod 6191) 

(3) 258zx 三 131(mod 348) 

2.13 ”证明 下 面 结论 。 

设 ab.c.d 为 整数 ,m 为 正 整 数 , 若 a 三 b(mod m),c 三 d(mod m), 则 : 
(1) azx 十 cy 三 bx 十 dy(mod m) ,zy 为 任意 整数 。 

(2) acbd (mod m), 

(3) anbn(mod m) .n>0。 

(4) 了 (Qj) 三 f(6) (mod m) ,f(z) 为 任 一 整数 多 项 式 。 
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2.14 求 满足 下 面 同 余 方 程 的 解 。 
= lmod5s z= mod6), r= 4mod7)s w= 0(mod 11) 

2.15 求 Z; 中 各 非 零 元 素 的 乘法 逆 元 。 

2.16 类 似 于 图 2.2, 列 出 有 限 域 GF(5) 中 的 加 法 和 乘法 运算 。 

2.17 对 于 系数 在 Ze 上 的 取 值 的 多 项 式 运算 ,分 别 计算 

《OAe 二 二 三 (2 上 5》 

(2) (6x 十 w 古 3)X(5zx* 和 十 2》 

2.18 假设 f(x)=x? 十 x 十 1 在 GF(2") 中 是 一 个 不 可 约 多 项 式 ,a (xz) 二 2x? 十 x 十 2， 
b(z)= 二 2x: 十 2X 十 2, 求 a(x)b(x)。 

2. 19 编程 实现 模 ”的 快速 指数 运算 。 

2.20 编程 实现 扩展 欧 几 里 德 算法 求 最 大 公 因 子 和 乘法 逆 元 。 
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本 章 导 读 

后 本 章 主 要 介绍 对 称 密 码 技术 及 其 相关 的 内 容 , 包 括 一 些 加 密 算 法 、 密 钥 的 产生 和 密 
钥 的 分 配 等 。 

如 对称 密码 是 一 种 加 密 密 钥 和 解密 密 钥 相同 的 密码 体制 。 

如 对称 密 码 分 为 分 组 密码 和 流 密码 。 分 组 密码 每 次 操作 (如 加 密 和 和 解密 ) 是 针对 一 个 
分 组 而 言 。 流 密码 则 每 次 加 密 ( 或 者 解密 ) 一 位 或 者 一 个 字 节 。 

如 对 密码 的 攻击 方法 有 基于 密码 算法 性 质 的 密码 分 析 和 穷 举 搜索 攻击 。 

;对 称 密码 主要 分 两 个 阶段 : 20 世纪 70 年 代 以 前 的 对 称 密码 (主要 指 计算 机 出 现 以 
前 ) 和 20 世纪 70 年 代 以 后 的 对 称 密码 。 

如 20 世纪 70 年代 以 前 的 对 称 密码 我 们 称 为 古典 加 密 技 术 , 主 要 使 用 代 换 或 者 置换 技 
巧 。20 世纪 70 年 代 以 后 的 对 称 密 码 则 同时 使 用 代 换 和 置换 技巧 。 

如 古典 加 密 技术 分 为 两 类 : 一 类 是 单字 母 代 换 密 码 , 它 将 明文 的 一 个 字符 用 相应 的 一 
个 密 文字 符 代 替 。 另 一 类 是 多 字母 代 换 密码 , 它 是 对 多 于 一 个 字母 进行 代 换 。 单 字 
母 代 换 密 码 又 分 为 单 表 代 换 密 码 和 多 表 代 换 密 码 。 

扣 DES 是 第 一 个 加 密 标 准 , 它 与 古典 加 密 技术 不 一 样 ,DES 同时 使 用 了 代 换 和 置换 两 
种 技巧 。 用 56 位 密 钥 加 密 64 位 明文 。 

如 AES 是 用 来 取代 DES 的 高 级 加 密 标准 ,其 结构 与 DES 不 同 , 它 是 用 128、192 或 者 
256 位 密 钥 加 密 128 位 的 分 组 。 

名 RC6 是 RSA 公司 提交 给 NIST 的 一 个 候选 高 级 加 密 标准 算法 ,其 效率 非常 高 。 

如 RC4 是 广泛 使 用 的 一 种 同步 流 密码 。 

如 在 密码 学 中 很 多 场合 都 要 使 用 随机 数 ,安全 的 随机 数 应 该 满足 随机 性 和 不 可 预 
测 性 。 

后 密 钥 分 配 为 通信 的 双方 发 送 会 话 密 钥 。 


密码 技术 是 信息 系统 最 重要 的 安全 机 制 。 密 码 技 术 主 要 分 为 对 称 密码 技术 (也 称 单 钥 
或 者 传统 密码 技术 ) 和 非 对 称 密码 技术 (也 称 双 钥 或 者 公 钥 密码 技术 )。 在 对 称 密码 技术 中 ， 
加 密 密 钥 和 人 解密 密 钥 相同 ,或 者 一 个 密 钥 可 以 从 另 一 个 导出 。 而 非 对 称 密码 技术 则 使 用 两 
个 密 钥 , 加 密 密 钥 和 解密 密 钥 不 相同 。 对 称 密码 技术 主要 使 用 两 种 技巧 : 代 换 和 置换 。 代 
换 是 将 明文 中 的 每 个 元 素 映 射 成 男 一 个 元 素 。 置 换 是 将 明文 中 的 元 素 重新 排列 。 在 20 世 
纪 70 年 代 以 前 的 加 密 技 术 都 是 对 称 加 密 技 术 , 并 且 在 这 些 加 密 技术 只 使 用 了 代 换 或 者 置换 
技巧 。 这 个 时 期 的 加 密 技术 也 称 为 古典 加 密 技 术 。 在 20 世纪 70 年 代 以 后 出 现 的 对 称 加 密 
技术 则 同时 使 用 了 代 换 和 置换 两 种 技巧 。 这 两 个 阶段 的 加 密 技 术 还 有 一 个 典型 区 别 是 , 古 
典 加 密 技 术 一 般 将 加 密 算法 保密 ,而 现代 的 对 称 加 密 技 术 则 公开 加 密 算法 ,加 密 算法 的 安全 
性 只 取决 于 密 钥 ,不 依赖 于 算法 。 非 对 称 密码 技术 则 产生 于 20 世纪 70 年 代 。 
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3.1 基本 概念 


密码 学 (Cryptology) 是 以 研究 秘密 通信 为 目的 , 即 对 所 要 传送 的 信息 采取 一 种 秘密 保 
护 ,以 防止 第 三 者 对 信息 的 窃取 的 一 门 学 科 。 密 码 学 作为 数学 的 一 个 分 支 ,包括 密码 编码 学 
(Cryptography) 和 密码 分 析 学 (Cryptanalysis) 两 部 分 。 密 码 编码 学 是 研究 加 密 原 理 与 方 
法 ,使 消息 保密 的 技术 和 科学 , 它 的 目的 是 掩盖 消息 内 容 。 密 码 分 析 学 则 是 研究 破解 密 文 的 
原理 与 方法 。 密 码 分 析 者 (Cryptanalyst) 是 从 事 密 码 分 析 的 专业 人 员 。 

采用 加 密 的 方法 伪装 消息 ,使 得 未 授权 者 不 可 理解 。 被 伪装 的 原始 的 消息 (Message) 
称 为 明文 (Plaintext)。 将 明文 转换 为 密 文 过 程 称 为 加 密 (Encryption) ,加 了 密 的 消息 称 为 


密 文 (Ciphertext) ,而 把 密 文 转变 为 明文 的 过 程 称 为 解密 明文 密 文 明文 
(Decryption) 。 加 密 解 密 过 程 如 图 3.1 所 示 。 从 明文 到 | 加 密 | 解密 | 一 一 
密 文 转换 的 算法 称 为 密码 (Cipher) 。 把 一 个 加 密 系统 采 图 3.1 加 密 解密 过 程 


用 的 基本 工作 方式 叫做 密码 体制 (Cryptosystem)。 实 际 

上 在 密码 学 中 见 到 “系统 或 体制 ”(System)、“ 方 案 ”(Scheme) 和 “算法 ”(Algorithm) 等 术语 
本 质 上 是 一 回 事 ,在 本 书 中 我 们 也 使 用 这 些 术 语 。 加 密 和 解密 算法 通常 是 在 一 组 密 钥 
(Key) 控 制 下 进行 的 ,分 别称 为 加 密 密 钥 和 解密 密 钥 。 如 果 加 密 密 钥 和 人 解密 密 钥 相同 , 则 密 
码 系统 为 对 称 密码 系统 。 


3.2 对称 密 码 模 型 


对 称 密码 也 称 传统 密码 , 它 的 特点 是 发 送 方 和 接收 方 共享 一 个 密 钥 。 对 称 密码 分 为 两 
类 : 分 组 密码 (Block Ciphers) 和 流 密码 (Stream Ciphers) 。 分 组 密码 也 称 为 块 密码 , 它 是 将 
信息 分 成 一 块 ( 组 ) ,每 次 操作 (如 加 密 和 解密 ) 是 针对 一 组 而 言 。 流 密码 也 称 序列 密码 , 它 是 
每 次 加 密 (或 者 解密 ) 一 位 或 者 一 个 字 节 。 

一 个 对 称 密码 系统 (也 称 密码 体制 ) 由 5 个 组 成 部 分 组 成 。 一 用 数学 符号 来 描述 为 
S=={M,C,K,E,D} ,如 图 3.2 所 示 。 


攻击 者 
发 送 方 | 接收 方 
i 
如 | 伟 解 
项 
M 法 | c | 旱 | < 基 | 4 
天 安全 通道 K 
密 钥 源 


图 3.2 对 称 密码 系统 模型 
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@ 明文 空间 M, 表 示 全 体 明 文 的 集合 。 

@ 密 文 空间 C, 表 示 全 体 密 文 的 集合 。 

@ 密 钥 空 间 K ,表示 全 体 密 钥 的 集合 ,包括 加 密 密 钥 和 人 解密 密 钥 。 

由 加 密 算 法 已 ,表示 由 明文 到 密 文 的 变换 。 

@ 解密 算法 DD, 表 示 由 密 文 到 明文 的 变换 。 

在 发 送 方 ,对 于 明文 空间 的 每 个 明文 ,加 密 算 法 在 密 钥 的 作用 下 生成 对 应 的 密 文 。 接 收 
方 将 接收 的 密 文 ,用 解密 算法 在 解密 密 钥 的 控制 下 变换 成 明文 。 我 们 可 以 看 到 加 密 算法 有 
两 个 输入 ,一 个 是 明文 , 另 一 个 是 密 钥 。 加 密 算法 的 输出 是 密 文 。 解 密 算法 本 质 上 是 加 密 算 
法 的 逆 运 行 , 解 密 算 法 的 输入 是 密 文 和 密 钥 ,输出 是 明文 。 

对 明文 M 用 密 钥 K ,使 用 加 密 算法 EE 进行 加 密 常 常 表示 为 Ei (MD) ,同样 用 密 钥 K 使 用 
解密 算法 D 对 密 文 C 进行 解密 表示 为 D(C)。 在 对 称 加 密 体制 中 ,解密 密 钥 相同 ,有 

C= EM) 
M = D(C) = Di (Ei: (M)) 

从 对 称 密码 模型 可 以 看 到 ,发 送 方 和 接收 方 主要 进行 加 密 和 解密 运算 ,我 们 希望 这 个 运 
算 越 容易 越 好 ,对 于 攻击 者 而 言 ,我 们 希望 他 们 破译 密 文 的 计算 越 难 越 好 。 因 此 一 个 好 的 密 
码 体制 至 少 满足 下 面 的 条 件 。 

中 已 知 明文 M 和 加 密 密 钥 K 时 ,计算 C 二 Ei(M) 容 易 。 

@ 加 密 算法 必须 足够 强大 ,使 破译 者 不 能 仅 根据 密 文 破译 消息 , 即 在 不 知道 解密 密 钥 
K 时 ,由 密 文 C 计 算出 明文 M 是 不 可 行 的 。 

@ 由 于 对 称 密码 系统 双方 使 用 相同 的 密 钥 , 因 此 还 必须 保证 能 够 安全 地 产生 密 钥 , 并 
且 能 够 以 安全 的 形式 将 密 钥 分 发 给 双方 。 

@ 对 称 密码 系统 的 安全 只 依赖 于 密 钥 的 保密 ,不 依赖 于 加 密 和 解密 算法 的 保密 。 


3.3 密码 攻击 


分 析 一 个 密码 系统 是 否 是 安全 ,一 般 是 在 假定 攻击 者 知道 所 使 用 的 密码 系统 情况 下 进 
行 分 析 的 。 一 般 情 况 下 ,密码 分 析 者 可 以 得 到 密 文 .知道 明文 的 统计 特性 ,加 密 体制 , 密 钥 空 
间 及 其 统计 特性 ,但 不 知道 加 密 截获 的 密 文 所 用 的 特定 密 钥 。 这 个 假设 称 为 Kerckhoff 假 
设 。 分 析 一 个 密码 系统 的 安全 性 一 般 是 建立 在 这 个 假设 的 基础 上 。 当 然 ,如 果 攻 击 者 不 知 
道 所 使 用 的 密码 体制 ,那么 破译 是 更 难 的 。 但 是 ,不 应 当 把 密码 系统 的 安全 性 建立 在 攻击 者 
不 知道 所 使 用 的 密码 体制 这 个 前 提 之 下 。 因 此 ,在 设计 一 个 密码 系统 时 ,其 目的 应 当 是 在 
Kerckhoff 假设 下 达到 一 定 的 安全 程度 。 

攻击 对 称 密码 体制 有 两 种 方法 : 密码 分 析 和 穷 举 攻击 (Brute Force Search) 。 密 码 分 析 
是 依赖 加 密 算 法 的 性 质 和 明文 的 一 般 特 征 等 试图 破译 密 文 得 到 明文 或 试图 获得 密 钥 的 过 
程 。 穷 举 攻击 则 是 试 遍 所 有 可 能 的 密 钥 对 所 获 密 文 进行 解密 ,直至 得 到 正确 的 明文 ; 或 者 
用 一 个 确定 的 密 钥 对 所 有 可 能 的 明文 进行 加 密 , 直 至 得 到 所 获得 的 密 文 。 


3.3.1 穷 举 攻击 
穷 举 攻击 是 最 基本 也 是 比较 有 效 的 一 种 攻击 方法 。 从 理论 上 讲 , 可 以 尝试 所 有 的 密 钥 。 
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因此 只 要 有 足够 的 资源 ,任何 密码 体制 都 可 以 用 穷 举 攻击 将 其 攻破 。 幸 运 的 是 ,攻击 者 不 可 
能 有 无 穷 的 可 用 的 资源 。 

穷 举 攻击 的 代价 与 密 钥 大 小 成 正比 。 穷 举 攻击 所 花费 的 时 间 等 于 尝试 次 数 乘 以 一 次 解 
密 ( 加 密 ) 所 需 的 时 间 。 显 然 可 以 通过 增 大 密 钥 位 数 或 加 大 解密 (加 密 ) 算 法 的 复杂 性 来 对 抗 
穷 举 攻击 。 当 密 钥 位 数 增 大 时 ,尝试 的 次 数 必然 增 大 。 当 解密 (加 密 ) 算 法 的 复杂 性 增 大 时 ， 
完成 一 次 解密 (加 密 ) 所 需 的 时 间 增 大 。 从 而 使 穷 举 攻击 在 实际 上 不 能 实现 。 表 3. 1 是 穷尽 
密 钥 空间 所 需 的 时 间 。 从 表 中 我 们 可 以 发 现 , 当 密 钥 长 度 达 到 128 位 以 上 时 ,以 目前 的 资源 
来 说 , 穷 举 攻击 将 不 成 功 。 


表 3.1 穷尽 密 钥 空间 所 需 的 时 间 


尝试 1 次 / 微 秒 尝试 105 次 / 微 秒 
密 钥 长 度 (位 ) 密 钥 数目 所 需 时 间 所 需 时 间 
32 22 一 4.3X10? 23 微 秒 一 35. 8 分 2. 15 毫秒 
56 25 一 7.2X101 25 微 秒 一 1142 年 10. 01 小 时 
128 21% =3.4X10% 222 微 秒 一 5.4X102# 年 5.4X108 年 
168 2 7 X10 2'97 微 秒 = 二 5.9X10* 年 5.9X103 年 
26 个 字母 排列 26! 一 4X102 2X1028 微 秒 王 6.4X102 年 “| 6.4X10* 年 


3.3.2 密码 攻击 类 型 


密码 分 析 是 基于 Kerckhoff 假设 。 密 码 分 析 者 所 使 用 的 策略 取决 于 加 密 方案 的 性 质 以 
及 可 供 密码 分 析 者 使 用 的 信息 , 正 是 基于 密码 分 析 者 所 知 的 信息 量 , 可 把 对 密码 的 攻击 分 为 
以 下 几 种 类 型 。 


唯 密 文 攻击 (Ciphertext-Only Attack) 。 密 码 分 析 者 有 一 些 消 息 的 密 文 , 这 些 消 息 都 
用 同一 算法 加 密 。 密 码 分 析 者 的 任务 是 恢复 尽 可 能 多 的 明文 ,或 者 是 最 好 能 推算 出 
加 密 消 息 的 密 钥 来 ,以 便 采 用 相同 的 密 钥 解 出 其 他 被 加 密 的 消息 。 这 种 情况 下 , 密 
码 分 析 者 知道 的 东西 只 有 两 样 : 加 密 算法 和 待 破译 的 密 文 。 

已 知 明文 攻击 (Known-Plaintext Attack)。 密 码 分 析 者 除 知道 加 密 算 法 和 待 破译 的 
密 文 外 ,而 且 也 知道 有 一 些 明文 和 同一 个 密 钥 加 密 的 这 些 明 文 所 对 应 的 密 文 , 即 知 
道 一 定数 量 的 明文 和 对 应 的 密 文 。 

选择 明文 攻击 (Chosen-Plaintext Attack)。 密 码 分 析 者 知道 加 密 算法 和 待 破译 的 密 
文 ,并 且 可 以 得 到 所 需要 的 任何 明文 所 对 应 的 密 文 ,这 些 明 文 和 待 破译 的 密 文 是 用 
同一 密 钥 加 密 得 来 的 , 即 知道 选择 的 明文 和 对 应 的 密 文 。 如 在 公 钥 密码 体制 中 , 攻 
击 者 可 以 利用 公 钥 加 密 他 任意 选 定 的 明文 。 

选择 密 文 攻击 (Chosen-Ciphertext Attack)。 密 码 分 析 者 知道 加 密 算法 和 待 破译 的 
密 文 ,密码 分 析 者 能 选择 不 同 的 被 加 密 的 密 文 ,并 可 得 到 对 应 的 解密 的 明文 , 即 知 道 
选择 的 密 文 和 对 应 的 明文 。 解 密 这 些 密 文 所 使 用 的 密 钥 与 解密 待 破解 的 密 文 的 密 
钥 是 一 样 的 。 这 种 攻击 主要 用 于 公 钥 密码 算法 。 

选择 文本 攻击 (Chosen Text Attack) 。 选 择 文本 攻击 是 选择 明文 攻击 和 选择 密 文 攻 
击 的 结合 。 密 码 分 析 者 知道 加 密 算法 和 待 破译 的 密 文 ,并 且 知 道 任意 选择 的 明文 和 
它 对 应 的 密 文 ,这些 明文 和 待 破译 的 密 文 是 用 同一 密 钥 加 密 得 来 的 ,以 及 有 目的 选 
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择 的 密 文 和 它 对 应 的 明文 ,解密 这 些 密 文 所 使 用 的 密 钥 与 解密 待 破解 的 密 文 的 密 钥 
是 一 样 的 。 

在 以 上 任何 一 种 情况 下 ,攻击 者 的 目标 是 为 了 确定 正在 使 用 的 密 钥 。 显 然 , 上 述 5 种 攻 
击 类 型 的 强度 按 序 递 增 , 如 果 一 个 密码 系统 能 够 抵抗 选择 明文 攻击 ,那么 它 也 能 抵抗 唯 密 文 
攻击 和 已 知 明文 攻 击 ,一 般 来 说 ,一 个 密码 体制 是 安全 的 ,通常 是 指 前 三 种 攻击 下 的 安全 性 ， 
即 攻击 者 一 般 容易 具备 前 三 种 攻击 条 件 。 在 这 几 种 攻击 类 型 中 , 唯 密 文 攻击 难度 最 大 ,因为 
攻击 者 可 利用 的 信息 最 少 。 在 此 情况 下 一 种 可 能 的 攻击 方法 是 对 所 有 可 能 的 密 钥 尝试 的 强 
行 攻击 法 , 即 穷 举 攻击 。 如 果 密 钥 量 非常 大 , 则 该 方法 是 不 现实 的 。 因 此 ,攻击 者 通常 运用 
各 种 统计 方法 对 密 文 本 身 的 分 析 。 如 果 攻 击 者 知道 的 信息 越 多 ,就 越 容易 破解 密 文 。 在 多 
数 情况 下 ,密码 分 析 者 能 够 获得 除 密 文 外 的 更 多 信息 ,如 能 够 获得 一 段 或 者 多 段 明文 以 及 对 
应 的 密 文 ,或 者 可 能 知道 某 种 明文 模式 将 出 现在 某 个 消息 中 ,此 时 可 以 进行 已 知 明 文 攻击 ， 
攻击 者 可 以 从 转换 明文 的 方法 来 推导 密 钥 。 

对 密码 设计 者 而 言 ,被 设计 的 加 密 算法 一 般 要 能 经 受 得 住 已 知 明文 的 攻击 。 如 果 无 论 
攻击 者 有 和 多少 密 文 , 由 一 个 加 密 算 法 产生 的 这 些 密 文中 包含 的 信息 不 足以 唯一 决定 对 应 的 
明文 ,也 无 论 用 什么 技术 方法 进行 攻击 都 不 能 被 攻破 ,这 种 加 密 算 法 是 绝对 安全 
(Unconditional Security) 。 绝 对 安全 指 不 论 攻 击 者 具有 多 少 计 算 能 力 都 无 法 破解 密 文 。 除 
一 次 一 密 (One-Time Pad) 外 ,没有 绝对 安全 的 加 密 算法 。 因 此 ,加 密 算法 的 使 用 者 应 该 挑 
选 满足 下 列 标准 中 的 一 个 或 两 个 的 算法 。 

(1) 破译 该 密码 的 成 本 超过 被 加 密 信息 的 价值 。 

(2) 破译 该 密码 的 时 间 超 过 该 信息 有 用 的 生命 周期 。 

如 果 满 足 上 述 的 两 个 准则 ,一 个 加 密 算法 就 可 认为 是 在 计算 上 安全 (Computational 
Security) 的 。 计 算 上 安全 是 指 在 计算 能 力 有 限 的 情况 下 (如 计算 所 需 时 间 比 宇宙 生存 时 间 
还 长 ) ,无 法 破解 此 密 文 。 目 前 的 加 密 算法 一 般 在 计算 上 是 安全 的 。 


3.3.3 密码 分 析 方 法 


当 密 钥 长 度 增加 到 一 定 的 大 小 时 , 穷 举 攻击 变 得 不 实际 。 因 此 用 密码 分 析 的 方法 攻击 
密码 越 来 越 引 起 人 们 的 重视 ,目前 比较 流行 的 密码 分 析 方 法 是 线性 密码 分 析 和 差分 密码 分 
析 。 这 两 种 方法 主要 是 针对 现代 密码 的 攻击 。 

线性 分 析 是 一 种 已 知 明文 攻击 ,最 早 由 Matsui 在 1993 年 提出 。 线 性 分 析 是 一 种 统计 
攻击 , 它 以 求 线性 近似 为 基础 。 通 过 寻找 现代 密码 算法 变换 的 线性 近似 来 攻击 。 如 用 这 种 
方法 只 需要 知道 2 个 已 知 明文 的 情况 下 就 可 以 找到 DES 的 密 钥 。 

差分 密码 分 析 在 许多 方面 与 线性 密码 分 析 相 似 , 它 与 线性 密码 分 析 的 主要 区 别 在 于 差 
分 密码 分 析 包 含 了 将 两 个 输入 的 异 或 与 其 相对 应 的 两 个 输出 的 异 或 相 比 较 。 差 分 密码 分 析 
也 是 一 个 选择 明文 攻击 。 差 分 密码 分 析 被 公认 为 尽 年 来 密码 分 析 最 大 的 成 就 。 差 分 密码 分 
析出 现 于 20 世纪 70 年 代 , 但 在 1990 年 才 公 开发 表 。 它 的 基本 思想 是 : 通过 分 析 明 文 对 的 
差 值 与 密 文 对 的 差 值 的 影响 来 恢复 某 些 密 钥 位 。 差 分 分 析 可 用 来 攻击 任何 一 个 固定 迭代 轮 
函数 结构 的 密码 算法 。 
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3.4 古典 加 密 技 术 


古典 加 密 技 术 主 要 使 用 代 换 或 者 置换 技术 。 代 换 (Substitution) 是 将 明文 字母 替换 成 
其 他 字母 .数字 或 者 符号 。 和 置换 (Permutation) 则 保持 明文 的 所 有 字母 不 变 , 只 是 打 乱 明文 
字母 的 位 置 和 次 序 。 这 些 古 典 代 换 加 密 技 术 分 为 两 类 ,一 类 是 单字 母 代 换 密码 (Monogram 
Substitution Cipher) , 它 将 明文 的 一 个 字符 用 相应 的 一 个 密 文 字符 代替 。 另 一 类 是 多 字母 
代 换 密码 (Polygram Substitution Cipher) , 它 是 对 多 于 一 个 字母 进行 代 换 。 在 单字 母 代 换 
密码 中 又 分 为 单 表 代 换 密码 (Monoalphabetic Substitution Cipher) 和 多 表 代 换 密 码 
(Polyalphabetic Substitution Cipher) 。 单 表 代 换 密 码 只 使 用 一 个 密 文字 母 表 ,并 且 用 密 文 
字母 表 中 的 一 个 字母 来 代替 一 个 明文 字母 表 中 的 一 个 字母 。 多 表 代 换 密 码 是 将 明文 消息 中 
出 现 的 同一 个 字母 ,在 加 密 时 不 是 完全 被 同一 个 固定 的 字母 代 换 ,而 是 根据 其 出 现 的 位 置 次 
序 , 用 不 同 的 字母 代 换 。 


3.4.1 单 表 代 换 密码 


单 表 代 换 密码 只 使 用 一 个 密 文字 母 表 ,并 且 用 密 文字 母 表 中 的 一 个 字母 来 代替 一 个 明 

文字 母 表 中 的 一 个 字母 。 设 M 和 C 分 别 表示 为 含 n 个 字母 的 明文 字母 表 和 密 文字 母 表 。 
M = {mo ,721 nn 1)} 
C= {co ,Cn 1} 

如 果 f 为 一 种 代 换 方法 ,那么 密 文 为 C=E (mm) 二 ooo wc 1 二 fno)fCom) ff(m_1)。 

单 表 代 换 密码 常见 的 方法 有 加 法 密码 、 乘 法 密码 和 仿 射 密码 。 在 本 章 的 例子 中 ,我 们 将 
用 小 写字 母 表 示 明 文 , 用 大 写字 母 表 示 密 文 。 明 文 和 密 文 空间 都 假设 为 26 个 字母 , 即 属于 
Zz ,当然 很 容易 推广 到 n 个 字母 的 情况 。 

1. 加 法 密码 

对 每 个 c,m€ 2 ,加 法 密码 的 加 密 和 解密 算法 是 

C= E(m) = (m+tk) modn 
M 一 Di(c) 一 (c 一 A) modn 

& 是 满足 0 二 A<7 的 正 整 数 。 若 n 是 26 个 字母 ,加密 方法 是 用 明文 字母 后 面 第 & 个 字 
母 代 替 明 文字 母 , 因 此 , 代 换 密码 中 的 加 密 和 解密 可 以 看 做 是 字母 表 上 的 一 个 字母 的 置换 。 
Caesar 密码 是 典型 的 加 法 密码 。 

Caesar 密码 是 已 知 最 早 的 单 表 代 换 密码 ,采用 加 法 加 密 的 方法 ,由 Julius Caesar 发 明 ， 
最 早 用 在 军 方 。 将 字母 表 中 的 每 个 字母 ,用 它 后 面 的 第 3 个 字母 代替 ,如 下 : 

明文 : meet me after the toga party 

密 文 : PHHW PH DIWHU WKH WRJD SDUWB 

可 将 代 换 方式 定义 如 下 : 
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让 每 个 字母 等 价 一 个 数字 如 下 : 


a b c d e ' g h i j k 1 m n 
0 1 2 3 4 5 6 8 9 10 和 12 13 
o p q r S t u v w x y 了 

14 15 16 yl 18 19 20 21 22 23 24 25 


对 每 个 明文 字母 m, 用 密 文字 母 c 代 换 ,那么 Caesar 密码 算法 如 下 。 

加 密 : C= 二 El(m) 二 (m 十 3) mod 26 

解密 : M==D(c)==(c 一 3) mod 26 

移 位 可 以 是 任意 的 ,如 果 用 (lk 三 25) 表 示 移 位 数 , 则 通用 的 Caesar 密码 算法 表示 如 下 。 

加 密 : C= 二 Ei(m) 二 (m 十 k) mod 26 

解密 : M 王 Di(c) 王 (cec 一 A) mod 26 

Caesar 密码 安全 性 分 析 如 下 : 

前 面 我 们 已 经 介绍 过 ,对 密码 的 分 析 是 基于 Kerckhoff 假设 。 因 此 假设 攻击 者 知道 使 
用 Caesar 密码 加 密 。 如 果 攻 击 者 只 知道 密 文 , 即 唯 密 文 攻击 ,只 要 穷 举 测试 所 有 可 能 字母 
移 位 的 距离 ,最 多 尝试 25 次 。 实 际 上 攻击 者 为 了 加 快 穷 举 速度 ,只 要 对 密 文中 一 个 单词 进 
行 猜想 解密 ,就 可 以 加 快 判断 密 钥 的 正确 性 。 如 果 攻 击 者 知道 一 个 字符 以 及 它 对 应 的 密 文 ， 
即 已 知 明文 攻击 ,那么 攻击 者 很 快 就 通过 明文 字符 和 对 应 的 密 文 字符 之 间 的 距离 推出 密 钥 。 
这 个 例子 说 明 一 个 密码 体制 安全 至 少 要 能 够 抵抗 穷 举 密 钥 搜索 攻击 ,普通 的 做 法 是 将 密 角 
空间 变 得 足够 大 。 但 是 ,很 大 的 密 钥 空间 并 不 是 保证 密码 体制 安全 的 充分 条 件 , 下 面 的 例子 
可 以 说 明 这 一 点 。 

我 们 对 Caesar 密码 进行 改进 ,假设 密 文 是 26 个 字母 的 任意 代 换 , 密 钥 是 明文 字母 到 密 
文字 母 的 一 个 字母 表 , 密 钥 长 度 是 26 字 长 。 

例如 字母 代 换 表 如 下 : 


十 |- 攻 | 过 中 二 是 仿 让 者 上 安息 生计 下 这 
DI 


车 加 密 的 明文 为 fwewishtoreplaceletters, 那 么 对 应 的 密 文 为 WIRFRWAJUHYFTS 
DVFSFUUFYA., 

上 面 的 字母 代 换 表 由 通信 双方 事先 设计 好 ,一 个 更 实际 的 构造 字母 代 换 表 的 方法 是 使 
用 一 个 密码 句子 。 如 密 钥 句子 为 the message was transmitted an hour ago, 按 照 密 钥 句子 


中 的 字母 依次 填 人 字母 表 (重复 的 字母 只 用 一 次 ) ,未 用 的 字母 按 自然 顺序 排列 。 这 样 可 以 
构造 如 下 的 字母 代 换 表 。 
原 字母 表 如 下 : 


四 丁丁 丁丁 西西 丁丁 西西 西西 本 丁丁 面 古 西西 丁丁 西西 
代 换 字母 表 如 下 : 
TESTATSIwTIRINTTTDIoeERTTETovITYTL 
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若 明 文 为 please confirm receipt, 使 用 上 面 的 代 换 字母 表 , 则 密 文 为 CDSTKSEBUARJ 
DJSESRCL。 

使 用 上 面 的 方法 代 换 ,总 共有 261 二 4X10” 种 密 钥 ,从 表 3. 1 可 以 看 到 穷 举 搜索 这 么 多 
的 密 钥 很 困难 。 但 这 并 不 表示 该 密码 不 容易 破解 。 破 解 这 类 密码 的 突破 点 是 由 于 语言 本 身 
的 特点 是 充满 元 余 的 ,每 个 字母 使 用 的 频率 不 相等 。 由 于 上 面 的 加 密 后 的 密 文 实际 上 是 明 
文字 母 的 一 个 排列 ,因此 单 表 代 换 密码 没有 改变 字母 相对 出 现 的 频率 ,明文 字母 的 统计 特性 
在 密 文中 能 够 反映 出 来 , 即 保持 明文 的 统计 特性 不 变 。 当 通过 统计 密 文 字母 的 出 现 频率 ,可 
以 确定 明文 字母 和 密 文字 母 之 间 的 对 应 关系 。 英 文字 母 中 单字 母 出 现 的 频率 如 图 3. 3 
所 示 。 


辐 12.702 


0.978 
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x¥p0.150 
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包 
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图 3.3 英文 字母 中 单字 母 出 现 的 频率 


图 3. 3 中 的 26 个 字母 按照 出 现 频率 的 大 小 可 以 分 为 下 面 5 类 。 

(1) e: 出 现 的 频率 大 约 为 0.127 。 

(2) tayoyin,s,h'r: 出 现 的 频率 大 约 在 0.06 一 0. 09 之 间 。 

(3) d,1: 出 现 的 频率 约 为 0.04。 

(4) cyuymyw'f,g,y,p:b: 出 现 的 频率 大 约 在 0.015 一 0.028 之 间 。 

(5) v,k,j,x,q,z: 出 现 的 频率 小 于 0. 01。 

双 字 母 和 三 字母 组 合 都 有 现成 的 统计 数据 ,常见 的 双 字 母 组 合 和 三 字母 组 合 统计 表 能 
够 帮助 破解 密 文 。 

出 现 频率 最 高 的 30 个 双 字 母 ( 按 照 频率 从 大 到 小 排列 ) 如 下 : 


th he in er an re ed on es st 


> 


相对 使 用 频率 (%) 
o 本 过 过 
18.167 
m1.492 
Oe 2.782 
© fr 4.253 
2.228 
© m2.015 
Tp 6.094 
6.996 
一 ho.153 
0.772 
4.025 
2.406 
6.749 
7.507 
Oh0.095 
5.987 
2 
局 9.056 
C 2.758 


en at to nt ha nd ou ea ng as 


or ti is et it ar te se hi of 


出 现 频率 最 高 的 20 个 三 字母 (按照 频率 从 大 到 小 排列 ) 如 下 : 
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the ing and her ere ent tha nth was eth 
for dth hat she ion int his sth ers ver 
例 3.1 已 知 下 面 的 密 文 是 由 单 表 代 换 产生 的 : 
UZQSOVUOHXMOPVGPOZPEVSGZWSZOPFPESXUDBMETSXAIZVUEPHZH 
MDZSHZOWSFPAPPDTSVPQUZWYMXUZUHSXEPYEPOPDZSZUFPOMBZWPFUP 
ZHMDJUDTMOHMQ 
试 破译 该 密 文 。 
首先 统计 密 文中 字母 出 现 的 频率 ,然后 与 英文 字母 出 现 频率 比较 。 密 文中 字母 的 相对 
频率 统计 如 下 。 


、 频率 、 频率 频率 频率 

字母 | 次 数 | Lo | 字母 | 次 数 | (wo | 字母 | 次 数 | (ow | 字母 | 次 数 | ob) 
A 2 1.67 H 7 5.83 O 9 7.50 可 5 4.17 
B 2 1.67 I 1 0.83 p 16 13.33 WwW 4 SS 
Cc 0 0.00 J 二 0.83 Q 3 2.50 X 5 a 
D 6 5.00 K 0 0.00 R 0 0.00 天 2 1.67 
E 6 5.00 二 0 0. 00 Ss 10 8..33 天 14 11.67 
F 4 3.33 M 8 6.67 时 3 2.55 V 5 4. 17 
G 2 1..67 N 0 0.00 U 10 8. 33 Ww 4 3.33 


将 统计 结果 与 图 3. 3 进行 比较 ,可 以 猜测 密 文中 P 与 Z 可 能 是 e 和 +, 密 文中 的 S,U， 
O,M 出 现 频 率 比 较 高 ,可 能 与 明文 字母 中 出 现 频率 相对 较 高 的 a,o,i,n,s,h,r 这 些 字母 对 
应 。 密 文中 出 现 频率 很 低 的 几 个 字母 C,K,L.N.,R.I,J 可 能 与 明文 字母 中 出 现 频 率 较 低 的 
字母 v,k,j,x,q,z 对 应 。 就 这 样 边 试 边 改 ,最 后 得 到 明文 如 下 : 

it was disclosed yesterday that several informal but direct contacts have been made 
with political representatives of the viet cong in moscow 

在 尝试 过 程 中 ,如 果 同 时 使 用 双 字 母 和 三 字母 的 统计 规律 ,那么 更 容易 破译 密 文 。 如 上 
面 的 密 文中 出 现 最 多 的 双 字 母 是 ZW, 它 可 能 对 应 明文 双 字 母 出 现 频率 较 大 的 th, 那 么 
ZWP 就 可 能 是 the, 这 样 就 更 容易 试 出 明文 。 

2. 乘法 密码 

对 每 个 c,m € 2 ,乘法 密码 的 加 密 和 解密 算法 是 

C= E(m) = (mk) modn 

M = D,(c)= (0k!) modn 
其 中 和 互 素 , 即 gcd(k,n) 二 1, 否则 不 存在 模 北 元 ,不 能 正确 解密 。 显 然 乘法 密码 的 密 
码 空间 大 小 是 pg(n) ,p(n) 是 欧 拉 函数 。 可 以 看 到 乘法 密码 的 密 钥 空 间 很 小 , 当 为 26 字 
母 , 则 与 26 互 素 的 数 是 1.、3、5、7、9、11、15、17、19、21、23、25, 即 p(n) 二 12 因此 乘法 密码 的 
密 钥 空间 为 12。 

乘法 密码 也 称 采样 密码 ,因为 密 文字 母 表 是 将 明文 字母 按照 下 标 每 隔 & 位 取出 一 个 字 
母 排列 而 成 。 

例 3.2 ”英文 字母 ,选取 密码 为 9, 使 用 乘法 密码 的 加 密 算 法 :那么 明文 字母 和 密 文 字母 
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的 代 换 表 构 造 如 下 。 

原 字 母 a b c d e 兴 g h i j k 1 m 
原 字母 的 值 0 和 了 3 4 5 6 7 8 9 TT 
代 换 字母 的 值 0 9 18 1 10 | 19 2 11 | 20 3 i2: | 2 4 
代 换 字母 A J S B K 十 € Wy U D M | V 

原 字 母 n oo p q 工 S 下 ¥ w XxX ¥ 

原 字母 的 值 i | ta | ter) we | 1 | 8 | 1 | 260 | :21 | :22 | 23 | wa | :25 
代 换 字母 的 值 13 | 22 5 14 | 23 6 15 | 24 7 16 | 25 a 17 
代 换 字母 N Ww F O 误 G 了 EE H Q 多 1 R 


若 明 文 为 a man liberal in his views, 那 么 密 文 为 AENVUJKXUNLUGHUKQG 。 
3. 仿 射 密码 
加 法 密码 和 乘法 密码 结合 就 构成 仿 射 密码 , 仿 射 密码 的 加 密 和 人 解密 算法 是 
C= E(m)= (km+t+k:) modn 
M= D(c) = kil(c—ks) modn 
仿 射 密码 具有 可 北 性 的 条 件 是 gcd(k,n) 二 1。 当 二 0 时 , 仿 射 密码 变 为 加 法 密码 , 当 
ks 二 0 时 , 仿 射 密码 变 为 乘法 密码 。 
仿 射 密码 中 的 密 钥 空间 的 大 小 为 ng(n), 当 nn 为 26 字母 ,p(n) 二 12, 因 此 仿 射 密码 的 密 
钥 空 间 为 12X26 一 312。 
例 3.3 设 密 钥 玉 =(7.3) ,用 仿 射 密码 加 密 明文 hot。 
三 个 字母 对 应 的 数值 是 7、14 和 19。 分 别 加 密 如 下 : 
(7X7 十 3) mod 26=52 mod 26=0 
(7X14 十 3) mod 26 王 101 mod 26 一 23 
(7X19 十 3) mod 26=136 mod 26=6 
三 个 密 文 数值 为 0.23 和 6, 对 应 的 密 文 是 AXG 。 
例 3.4 假设 获得 仿 射 密码 加 密 的 密 文 是 : 
FMXVEDKAPHRERBNDKRXRSREFMORUD5DXYV5HVUPEDKAPRKDLYEVLRHHHRH 
试 破译 该 密码 。 
同样 可 以 统计 密 文中 各 字母 出 现 的 频率 ,然后 与 英文 字母 出 现 频率 比较 ,在 尝试 过 程 中 
同时 要 考虑 仿 射 密码 的 条 件 。 
各 个 字母 出 现 的 频率 统计 如 下 。 


字母 频率 (次 数 ) 字母 频率 (次 数 ) 字母 频率 (次 数 ) 字母 频率 (次 数 ) 
A 2 H 5 O 1 V 4 

B L I 0 B 2 W 0 

© 0 和 0 Q 0 X 2 

D 区 K 5 R 8 ¥ 1 

E 5 生 2 S 3 Z 0 

F 4 M 2 全 0 

G 0 N L U 2 
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这 里 虽然 只 有 57 个 字母 ,但 它 足以 分 折 仿 射 密码 ,最 大 频率 的 密 文字 母 是 R(8 次 ),D 
(7 次 ),E、H、K( 每 个 5 次 ) 和 SF、V( 各 4 次 )。 首 先 .我 们 可 以 猜想 R 是 e 的 加 密 , 而 DD 是 
t 的 加 密 , 因 为 e 和 +t 是 两 个 出 现 频率 最 高 的 字母 。e 和 + 对 应 的 数值 是 4 和 19,R 和 D 对 
应 的 数值 是 17 和 3。 对 于 仿 射 密码 ,有 c= (kim 十 kz)。 
所 以 我 们 有 如 下 的 关于 两 个 未 知 数 线性 方程 组 : 
17=4ki 十 ks 
13=19ki 十 As 
这 个 方程 组 有 了 唯一 解 & 二 6,k, 二 19, 但 这 不 是 一 个 合法 的 密 钥 ,因为 gcd(6,26) 王 2, 不 
等 寺 了 。 
我 们 再 猜测 R 是 。 的 加 密 , 而 EE 是 t 的 加 密 , 继 续 使 用 上 述 的 方法 ,得 到 二 13, 这 也 
是 一 个 不 合法 的 密 钥 。 再 试 一 种 可 能 性 : R 是 。 的 加 密 ,H 是 t 的 加 密 , 则 有 k= 二 8, 这 也 是 
不 合法 的 。 继 续 进 行 ,我 们 猜测 R 是 e 的 加 密 ,K 是 +t 的 加 密 , 这 样 可 得 二 3,ks 王 5, 首先 
它 至 少 是 一 个 合法 的 密 钥 ,下 一 步 工 作 就 是 检验 密 钥 K= 二 (3,5) 的 正确 性 。 如 果 我 们 能 得 
me 对 密 文 进行 解密 有 


algorithms are quite general definitions of arithmetic processes 


3.4.2 多 表 代 换 密码 


单 表 代 换 密码 是 将 明文 的 一 个 字母 唯一 地 代 换 为 一 个 字母 。 加 密 后 的 密 文 具有 明文 的 
特征 ,通过 统计 密 文中 字母 出 现 的 频率 能 够 比较 方便 地 破解 密 文 。 要 提高 密码 的 强度 ,应 该 
让 明文 结构 在 密 文中 尽量 少 出 现 。 i oe el pier 
母 和 明文 字母 之 间 的 对 应 关系 。 这 一 节 介 绍 多 表 代 换 密码 ,下 一 节 将 介绍 多 字母 代 换 
密码 。 

多 表 代 换 密码 是 对 每 个 明文 字母 信息 采用 不 同 的 单 表 代 换 ,也 就 是 用 一 系列 (两 个 以 
上 ) 代 换 表 依次 对 明文 消息 的 字母 进行 代 换 的 加 密 方法 。 

如 果 明 文字 母 序列 为 m 二 mimo…, 令 三 及 ,fa，… 为 代 换 序列 , 则 对 应 的 密 文 字母 序 
列 为 


C= E(m) = fiCm)fz (ms) 

车 代 换 系列 为 非 周 期 无 限 序列 则 相应 的 密码 为 非 周期 多 表 代 换 密 码 。 这 类 密码 对 每 个 
明文 字母 都 采用 不 同 的 代 换 表 或 密 钥 进行 加 密 , 称 作 是 一 次 一 密 密 码 (One-Time Pad 
Cipher) 。 这 是 一 种 在 理论 上 唯一 不 可 破 的 密码 ,一 次 一 密 对 于 明文 的 特征 可 实现 完全 隐 
项 ,但 由 于 需要 的 密 钥 量 和 明文 消息 长 度 相 同 而 难以 广泛 使 用 。 

实际 中 经 常 采用 周期 多 表 代 换 密码 , 它 通 常 只 使 用 有 限 的 代 换 表 , 代 换 表 被 重复 使 用 以 
完成 对 消息 的 加 密 。 此 时 代 换 表 系 列 为 

了 三 万, ja 万 ,21 
在 对 明文 字母 序列 为 m 二 mims… 进 行 加 密 时 ,相应 的 密 文字 母系 列 为 
C= E(m) = fiCGm) fomz) fa ma) fi man) fmars) “falm2a) … 
当 d 二 1 时 ,多 表 代 换 密码 变 为 单 表 代 换 密码 。 
下 面 介 绍 一 种 比较 有 名 的 多 表 代 换 密码 一 一 维 吉 尼 亚 密 码 。 
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1. 维 吉 尼 亚 密码 
维 吉 尼 亚 (Vigenare) 密 码 是 一 种 周期 多 表 代 换 密码 ,由 1858 年 法 国 密码 学 家 维 吉 尼 亚 


提出 。 它 的 形式 化 描述 如 下 。 


密 钥 KK 二 (ki ,ks，,… ,ka),d 为 代 换 周期 长 度 , 将 明文 M= Gm ,mz ，…,m) 分 为 长 度 为 d 


的 分 段 。 


加 密 函 数 为 
C= E(m)=((m++h) modn,lmzth) mod n,mat ka) modn, 
man tk) mod n,marz thks) mod ns, (124 十 Re) mod n, 


man hi) mod n,m arz thks) mod n,m ka) mod n) 
如 果 密 文 为 C 一 (ccz ,co), 则 解密 函数 为 
M= D(c)=((c—h) modn,(cs — ks) modm… (cz 一 Ru) mod n, 


(can— Rk) modn,(carz— ks) modm2 ,ca — ka) mod n, 


(can — Ri) mod ns,(c a — ks) mod ns,(c,— ks) mod n) 


假设 明文 和 密 文 都 是 26 个 英文 字母 , 维 吉 尼 亚 密 码 常 常 使 用 英文 单词 作为 密 钥 字 , 密 


钥 则 是 密 钥 字 的 重复 。 比 如 密 钥 字 是 computer, 用 它 加 密 明 文 sender and recipient share a 
common key。 那 么 密 钥 如 下 。 


明文 : senderandrecipientshareacommonkey 

密 钥 : computercomputercomputercomputerc 

维 吉 尼 亚 密码 加 密 过 程 简 述 如 下 。 

(1) 写 下 明文 ,表示 为 数字 形式 。 

(2) 在 明文 之 上 重复 写 下 密 钥 字 ,也 表示 为 数字 形式 。 

(3) 加 密 相 对 应 的 明文 : 给 定 一 个 密 钥 字母 & 和 一 个 明文 字母 m ,那么 密 文字 母 则 是 


Cm 十 k)mod 26 计算 结果 所 对 应 的 字母 。 


a 


例 3.5 设 密 钥 字 是 cipher, 明 文 串 是 this cryptosystem is not secure, 求 密 文 。 

在 明文 下 面 重复 写 密 钥 字 , 组 成 密 钥 。 

明文 M: thiscryptosystemisnotsecure 

密 钥 K: cipherciphercipherciphercip 

将 明文 和 密 钥 转化 为 数字 : 

明文 M=(19,7,851852517524,15y19514518,24518,19.4512,83 18513514 1951854， 
1 

泌 钢 下 =(258y155.774 258 5575 4 7525851557 7 72587155 7 和 95 有 5 

对 每 个 明文 数字 和 对 应 的 密 钥 数字 ,使 用 c; 二 Gn; 十 ki)mod 26 加 密 。 得 到 密 文 数字 为 

(21,15,23,25,6,8,0,23,8,21,22,15,21,1,19,19,12,9,15,22,8,25,8,19,22,25,19) 


于 是 密 文 为 


VPXZGIAXIVWPUBTTMJPWIZITWZT 
可 以 看 出 , 维 吉 尼 亚 密 码 是 将 每 个 明文 字母 映射 为 几 个 密 文字 母 , 如 果 密 钥 字 的 长 度 是 
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m, 明 文中 的 一 个 字母 能 够 映射 成 这 m 个 可 能 的 字母 中 的 一 个 。 因 此 密 文中 字母 出 现 的 频 
率 被 隐蔽 了 , 它 的 安全 性 明显 比 单 表 代 换 密码 提高 了 。 维 吉 尼 亚 密 码 的 密 钥 空间 比较 大 ,对 
于 长 度 是 m 的 密 钥 字 , 密 钥 空 间 为 26”, 当 m 二 5, 密 钥 空 间 所 含 密 钥 的 数量 大 于 1.1X107 。 
2 二 次 二 密 
一 次 一 密 是 非 周期 多 表 代 换 密码 , 它 使 用 与 明文 一 样 长 且 无 重复 的 随机 密 钥 来 加 密 明 
文 , 并 且 该 密 钥 使 用 一 次 后 就 不 再 使 用 。 在 实际 使 用 时 ,通信 双方 事先 协商 一 个 足够 长 的 密 
钥 序列 ,要 求 密 钥 序列 中 的 每 一 项 都 是 按 均匀 分 布 随 机 地 从 一 个 字符 表 中 选取 的 。 双 方 各 
自 秘密 保存 密 钥 序 列 。 每 次 通信 时 ,发 送 方 用 自己 保存 的 密 钥 序 列 中 的 密 钥 , 按 次 序 与 要 发 
送 的 消息 进行 加 密 。 消 息 加 密 完 成 后 ,把 密 钥 序 列 中 刚 使 用 过 的 这 一 段 销毁 。 接 收 方 每 次 
收 到 密 文 消息 后 ,使 用 同样 的 密 钥 序 列 解密 。 解 密 完 成 后 ,立即 把 密 钥 序 列 中 刚 使 用 过 的 这 
一 段 销 毁 。 由 于 密 钥 是 随机 的 ,用 它 加 密 明 文 后 的 密 文 也 是 随机 的 , 密 文 中 没有 任何 明文 的 
特征 ,因此 这 个 加 密 方案 是 绝对 完全 的 。 
例如 ,明文 是 cryptosystem ,选取 的 密 钥 序 列 是 djfstlIngwjpw。 
明文 转换 数字 为 
ME 
密 钥 转换 数字 为 
KS 5 Lg lly L029 L532 
那么 可 以 得 到 密 文 数字 为 
C= 0 1 5 5 4 2 L983 
则 密 文 为 fadhmzfeocti。 
当 明 文中 的 字符 是 位 时 , 密 钥 序 列 中 的 一 项 也 是 一 位 。 加 密 时 常 采用 位 异 或 。 
例如 , 设 明 文 消息 是 0010101, 密 钥 是 10101100, 那 么 加 密 过 程 如 下 : 
密 文王 明文 巾 密 钥 王 0010101 由 10101100 王 10000101 
解密 时 将 密 文 与 密 钥 异 或 : 
明文 = 密 文田 密 钥 二 10000101 @ 10101100 王 0010101 
一 次 一 密 不 可 破解 的 原因 是 ,对 于 一 段 密 文 ,与 密 文 相同 长 度 的 字母 串 都 可 能 是 明文 ， 
密 文 不 能 提供 明文 和 密 钥 的 任何 信息 。 对 任何 与 密 文 一 样 长 的 明文 ,也 存在 一 个 密 钥 产生 
这 个 明文 。 也 就 是 说 你 用 穷 举 搜索 所 有 可 能 的 密 钥 ,就 会 找到 大 量 可 读 的 明文 ,也 就 不 可 能 
确定 哪 一 个 是 真正 需要 的 明文 ,可 见 一 次 一 密 是 绝对 安全 的 。 
由 于 一 次 一 密 的 安全 性 是 取决 于 密 钥 的 随机 性 ,因此 首先 需要 解决 产生 随机 的 密 钥 序 
列 ,但 产生 大 规模 随机 密 钥 是 一 件 很 困难 的 事情 ,目前 还 没有 很 好 的 办 法 来 解决 这 个 问题 。 
另外 , 密 钥 分 配 也 是 一 个 难点 ,由 于 密 钥 不 允许 重复 使 用 ,因此 存在 大 量 的 密 钥 分 配 问 题 。 
由 于 这 些 困难 ,一 次 一 密 在 实际 中 很 少 使 用 ,主要 是 用 于 高 度 机 密 的 低 带 宽 信 道 。 


3.4.3 多 字母 代 换 密码 


前 面 介 绍 的 密码 都 是 以 单字 母 作 为 代 换 对 象 , 如 果 每 次 对 多 个 字母 进行 代 换 就 是 多 字 
母 代 换 密码 。 多 字母 代 换 的 优点 是 容易 隐藏 字母 的 自然 出 现 频率 ,有 利于 对 抗 统计 分 析 。 
下 面 介绍 常见 的 多 字母 代 换 密码 。 

1. Playfair 密码 

Playfair 密码 是 将 明文 中 双 字 母音 节 作 为 一 个 单元 ,并 将 其 转换 成 密 文 的 双 字 母音 节 
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〈 即 一 次 代 换 两 个 字母 )。Playfair 算法 是 基于 一 个 由 密 钥 组 成 的 一 个 5X5 阶 矩 阵 。 假 设 
密 钥 是 monarchy', 构 建 敌阵 的 方法 是 将 密 钥 ( 去 掉 重 复 的 字母 ) 从 左 到 右 \ 从 上 到 下 填 和 人 和 矩 
阵 中 ,再 将 剩余 的 字母 按照 字母 表 的 顺序 依次 填 人 。 在 该 矩阵 中 ,字母 1 和 j 暂 且 当 一 个 字 
母 。 这 样 可 以 构成 如 下 的 密 钥 矩阵 。 


M O N A R 
C H 学 也 D 
E 时 G I/J K 
L P Q S 和 
U V Ww X Zz 


Playfair 按照 下 面 的 原则 加 密 与 解密 。 

每 次 以 两 个 字母 为 一 个 单位 进行 操作 。 

(1) 如 果 这 两 个 字母 一 样 , 则 在 中 间 插 入 一 个 字母 x( 事 先 约定 的 一 个 字母 ) ,如 balloon 
变 成 ba lx lo on。 

(2) 如 果 明 文 长 度 不 是 2 的 倍数 , 则 在 最 后 填 人 一 个 实现 约定 的 字母 x。 如 table 变 为 
ta bl ex。 

(3) 如 果 两 个 字母 在 矩阵 的 同一 行 , 用 它 右边 的 字母 来 代替 (最 后 一 个 字母 的 右边 是 第 
1 个 字母 ) ,如 ar 加 密 变 为 RM。 

(4) 如 果 两 个 字母 在 同一 列 , 用 它 下 面 的 字母 来 代替 它 ( 最 底下 的 字母 的 下 一 个 是 该 列 
第 1 个 字母 ) ,如 mu 加 密 变 为 CM。 

(5) 其 他 的 字母 都 用 它 同一 行 , 另 一 个 字母 的 同一 列 相 交 的 字母 代替 ,如 hs 加 密 变 为 
BP,ea 变 为 IM 或 者 JM( 由 加 密 者 自行 决定 ) 。 

例 3.6 假设 密 钥 是 cipher, 使 用 Playfair 算法 加 密 playfair cipher was actually 
invented by wheatston 。 


由 密 钥 词 cipher 可 构建 如 下 的 密 钥 矩 阵 。 


加 I P | H | E 

R|A|IB|D | 

G|K| LI MIN 

Cl|ls|T| 5 

EE 
将 明文 按照 两 个 字母 分 组 为 


pl ay fa ir ci ph er wa sa ct ua lx ly in ve nt ed by wh ea ts to nx 
则 密 文 为 

BS DW RB CA IP HE CF IK QB HO QF SP MX EK ZC MU HF DX YIIF UT UQ LZ 

Playfair 密码 的 安全 性 比 单字 母 代 换 密码 提高 了 许多 , 双 字 母 共 有 26X26 一 676 组 合 ， 
因此 频率 统计 分 析 表 中 需要 676 条 统计 数据 (而 单 表 代 换 密码 只 有 26 条 ) ,另外 Playfair 密 
码 中 比 单字 母 代 换 更 好 地 隐藏 了 明文 中 单字 母 的 结构 。 一 个 字母 可 能 代 换 为 不 同 的 字母 ， 
如 使 用 密 钥 词 是 monarchy 构成 的 矩阵 中 ,我 们 观察 字母 a 与 不 同 的 字母 组 合 加 密 后 的 变 
化 :如 as 一 BX,ar~RM,af>0OI 等 ,字母 a 可 以 变换 为 B, 以 及 a 所 在 的 一 行 所 有 字母 ( 除 a 
自己 外 )。 如 果 密 钥 词 变化 ,那么 a 在 理论 上 可 以 代 换 为 除 自己 外 的 任何 一 个 字母 ,因此 
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Playfair 密码 能 够 较 好 地 隐藏 明文 的 特征 。Playfair 密码 在 过 去 一 段 时 间 曾 经 广泛 地 使 用 
过 ,在 第 一 次 世界 大 战 中 被 英 军 作为 最 好 的 密码 系统 使 用 ,在 第 二 次 世界 大 战 中 也 曾经 被 美 
军 和 盟 军 大 量 使 用 。 当 然 现在 看 来 ,该 密码 的 安全 性 是 很 低 的 , 它 还 有 明文 的 部 分 特征 ,只 
要 给 定 几 百 个 字母 的 密 文 情况 下 ,该 加 密 方法 就 可 以 破解 。 
2. Hill 密码 
该 密码 是 1929 年 由 数学 家 Lester Hill 发 明 的 一 种 多 字母 代 换 密码 。 加 密 算法 将 mm 个 
明文 字母 奉 换 成 m 个 密 文 字母 (Hill,, 密码 表示 m 个 明文 字母 为 一 组 )。 这 种 代 换 由 mm 个 
线性 方程 决定 。 
如 果 mm 二 3, 则 该 密码 系统 可 以 表示 为 
Ci = (kumi 十 kms +t kisms) mod 26 
Cs。 = (koimi 十 kzzmz 十 kzs1ms) mod 26 
Cs = (ksimi 十 kszmz 十 kss1ms) mod 26 
用 向 量 或 者 矩阵 表示 为 


C1 


ku ks ks lfmi 
cz | 一 | ks ARzz e | mod26 ”或 者 C= 二 KM mod 26 
Cs ks Rsz kss 
其 中 C 和 M 是 长 度 为 3 的 列 向 量 , 分 别 代 表 密 文 和 明文 ,K 是 一 个 3X3 的 矩阵 ,代表 加 密 
密 钥 。 运 算 按 照 模 26 执行 。 
一 个 Hill, 密码 加 密 过 程 可 以 简单 描述 如 下 。 
(1) 将 明文 字母 以 m 个 字母 为 单位 进行 分 组 , 若 最 后 一 组 没有 m 个 字母 , 则 补足 没有 
任何 实际 意义 的 哑 字 母 (双方 事先 可 以 约定 这 些 字 母 ), 并 用 数字 表示 这 些 字母 。 
(2) 选择 一 个 m 阶 可 逆 方 阵 开 , 称 为 Hill。 密码 的 加 密 和 矩阵 。 
(3) 对 每 mm 个 字母 为 一 组 的 明文 字母 ,用 它 对 应 的 值 构 成 一 个 m 维 向 量 。 
(4) 计算 密 文 的 值 C= 二 km mod 26, 然 后 反 查 字母 表 的 值 , 得 到 对 应 的 x 个 密 文 字母 。 
(5) 同样 明文 的 其 他 组 的 密 文 。 
例 3.7 用 Hill; 对 明文 pay more money 加 密 , 加 密 密 钥 为 
17 17 5 
k= 18 21 
2 2 19 
将 明文 三 个 字母 分 为 一 组 ,pay mor emo ney ,前 面 三 个 字母 的 值 用 向 量 表示 为 


15 
pay 一 | 0 
24 


ms 


该 三 个 字母 加 密 过 程 为 


15 375 11 
天 | 0|= a mod 26 = 加 LSN 
24 486 18 


以 此 类 推 ,可 得 整个 明文 对 应 的 密 文 是 LNS HDL EWN TRW。 
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解密 时 使 用 逆 矩 阵 
4 9 15 
cs 好 
2 0 
和 | 
rex rs ,解密 过 程 为 
18 


i = pay 


11 15 

oj mod 26 一 | 0 

18 24 
Hil 密码 能 够 很 好 地 隐藏 了 单字 母 出 现 的 频率 ,可 以 抵抗 统计 频率 分 析 , 但 面 对 已 知 

明文 攻击 就 很 容易 被 破译 。 

3.4.4 置换 密码 


代 换 密码 是 将 明文 字母 用 不 同 的 密 文 字母 代替 。 置 换 密码 (Permutation Cipher) 则 保 
持 明 文 的 所 有 字母 不 变 , 只 是 打 乱 明文 字母 的 位 置 和 次 序 , 所 以 有 时 也 称 换 位 密码 
(Transposition Cipher) 它 的 实现 方法 有 很 多 。 下 面 介 绍 一 种 列 置换 加 密 方法 。 

假如 用 密 钥 network, 加 密 明 文 permutation cipher hide the message by rearranging 
the letter order。 

将 明文 按照 密 钥 的 长 度 一 行 一 行 地 写成 一 个 矩阵 ,然后 按照 密 钥 字母 对 应 的 数值 从 小 
到 大 ,按照 列 读 出 即 为 密 文 。 


密 钥 Et t Ww 0 r k 

明文 : p Ee r i Wt a 
t 1 o n 和 1 p 
h e r h i d e 
Ls h e m e S S 
a g ee b y Ir e 
a 让 ¥ a g 1 
证 、 过 h e 1 e 
t t e 站 于 d 
Se 站 


在 密 钥 network 中 ,字母 对 应 的 数字 从 小 到 大 排列 是 eknortw ,按照 这 个 顺序 读 出 上 面 
矩阵 的 列 即 是 密 文 : 

EIEHGRGTRAPESEIEDPTHTAANTEUCIEYNEOTIDSRGLRROREERTE MNHMBAHR 

置换 密码 比较 简单 ,经 不 起 已 知 明文 攻击 。 但 是 置换 密码 与 代 换 密码 相 结合 ,可 以 得 到 
效果 很 好 的 密码 。 
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3.5 数据 加 密 标 准 


1949 年 Shannon 的 论文 (保密 系统 的 通信 理论 ), 标 志 着 密码 学 作为 一 门 独立 的 学 科 的 
形成 。 从 此 ,信息 论 成 为 密码 学 的 重要 的 理论 基础 之 一 。Shannon 建议 采用 扩散 
(Diffusion) ,混淆 (Confusion) 和 乘积 迭代 的 方法 设计 密码 。 所 谓 扩 散 就 是 将 每 一 位 明文 和 
密 钥 的 影响 扩散 到 尽 可 能 多 的 密 文 数字 中 。 这 样 使 得 密 钥 和 明文 以 及 密 文 之 间 的 依赖 关系 
相当 复杂 ,以 至 于 这 种 依赖 性 对 密码 分 析 者 来 说 无 法 利用 。 产 生 扩 散 的 最 简单 的 方法 是 置 
换 。 混 淆 用 于 掩盖 明文 和 密 文 之 间 的 关系 。 使 得 密 钥 的 每 一 个 位 影响 密 文 的 许多 位 ,以 防 
止 对 密 钥 进行 逐 段 破译 ,并 且 明 文 的 每 一 个 位 也 应 影响 密 文 的 许多 位 ,以 便 隐蔽 明文 的 统计 
特性 。 用 代 换 方法 可 以 实现 混淆 。 混 淆 就 是 使 密 文 和 密 钥 之 间 的 关系 复杂 化 。 密 文 和 密 钥 
之 间 的 关系 越 复杂 , 则 密 文 和 明文 之 间 、 密 文 和 密 钥 之 间 的 统计 相关 性 就 越 小 ,从 而 使 统计 
分 析 不 能 奏效 。 设 计 一 个 复杂 的 密码 一 般 比 较 困难 .而 设计 一 个 简单 的 密码 相对 比较 容易 ， 
因此 利用 乘积 迭代 的 方法 对 简单 密码 进行 组 合 迭 代 , 可 以 得 到 理想 的 扩散 和 混淆 ,从 而 得 到 
安全 的 密码 。 近 代 各 种 成 功 的 分 组 密码 (如 DES、AES 等 ) ,都 在 一 定 程度 上 采用 和 体现 了 
Shannon 的 这 些 设计 思想 。 

为 了 适应 社会 对 计算 机 数据 安全 保密 越 来 越 高 的 需求 ,美国 国家 标准 局 (NBS) , 即 现 在 
的 国家 标准 和 技术 研究 所 (NIST) 于 1973 年 5 月 向 社会 公开 征集 标准 加 密 算法 ,并 公布 了 
它 的 设计 要 求 。 

(1) 算法 必须 提供 高 度 的 安全 性 。 

(2) 算法 必须 有 详细 的 说 明 , 并 易于 理解 。 

(3) 算法 的 安全 性 取决 于 密 钥 , 不 依赖 于 算法 。 

(4) 算法 适用 于 所 有 用 户 。 

(5) 算法 适用 于 不 同 应 用 场合 。 

(6) 算法 必须 高 效 、 经 济 。 

(7) 算法 必须 能 被 证 实 有 效 。 

1974 年 8 月 27 日 , NBS 开始 第 二 次 征集 , IBM 提交 了 算法 LUCIFER ,该 算法 由 
Feistel 领导 的 团队 研究 开发 ,采用 64 位 分 组 以 及 128 位 密 钥 。IBM 用 改版 的 Lucifer 算法 
参加 竞争 ,最 后 获胜 ,成 为 数据 加 密 标准 (Data Encryption Standard,DES)。1976 年 11 月 
23 日 ,采纳 为 联邦 标准 ,批准 用 于 非 军事 场合 的 各 种 政府 机 构 。1977 年 1 月 15 日 ,数据 加 
密 标准 , 即 FIPS PUB 46 正式 发 布 。DES 是 分 组 密码 的 典型 代表 ,也 是 第 一 个 被 公布 出 来 
的 加 密 标准 算法 。 现 代 大 多 数 对 称 分 组 密码 也 是 基于 Feistel 密码 结构 。 


3.5.1 DES 加 密 过 程 


DES 同时 使 用 了 代 换 和 置换 两 种 技巧 。 它 用 56 位 密 钥 加 密 64 位 明文 ,最 后 输出 64 位 
密 文 。 整 个 过 程 分 为 两 大 部 分 组 成 : 一 是 加 密 过 程 , 另 一 是 子 密 钥 产 生 过 程 。 图 3. 4 是 
DES 加 密 算法 简 图 。 

可 以 将 图 3.4 左 半边 的 处 理 过 程 分 以 下 三 个 部 分 。 


52 


加 密 过 程 


64 位 明文 


第 16 轮 


32 位 互 换 


(1) 64 位 明文 经 过 初始 置换 被 重新 排列 ,然后 分 左右 两 半 ,每 半 各 32 位 。 
(2) 左右 两 半 经 过 16 轮 置 换 和 代 换 迭代 , 即 16 次 实施 相同 的 变换 。 然 后 再 左右 两 半 互 换 。 


逆 初 始 置换 


64 位 密 文 


3.4 ”DES 加 密 算法 简 图 


上 


(3) 互 换 后 的 左右 两 半 合 并 ,再 经 过 逆 初 始 置换 输出 64 位 密 文 。 


图 3.4 右 半 部 则 由 56 位 密 钥 ,产生 16 个 48 位 子 密 钥 ,分 别 供 左 半边 的 16 轮 和 迭代 加 密 


使 用 。 
1. 初始 置换 


初始 置换 (Initial Permutation,IP) 是 数据 加 密 的 第 1 步 , 将 64 位 的 明文 按照 图 3.5 置 


换 。 置 换 表 中 的 数字 表示 输入 位 在 输出 中 的 位 置 。 


置换 后 将 数据 M 分 成 两 部 分 : 左 半 部 分 L。 和 右 半 部 分 Ro 各 32 位 。 划 分 方法 原则 是 


偶数 位 移 到 左 半 部 ,奇数 位 移 到 右 半 部 , 即 : 


Lo 一 Mss 
Mso 
Ms; 
Ms 


Mso 
Ma 
Ms 
Mss 


Mz 
Ma 
Mas 
Mas 


Ma 
Mse 
Mss 
Mao 


Ms 
Ms 
Mso 
Ms» 


58 50 42 34 26 18 10 2 
60 52 44 36 28 20 12 4 
62 54 46 38 30 22 14 6 
64 56 48 40 32 24 16 8 
57 49 41 33 25 17 9 1 
59 51 43 35 27 19 11 3 
61 53 45 37 29 21 13 5 
63 55 47 39 31 23 15 7 
图 3.5 初始 置换 


Mis 
Mz 
M;,; 
Mz 


Mio 
M's 
Ma 
Mie 


M; 
M, 
Ms 
Ms 
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及 , =Ms: Me M: Mis Ms M1: M, MM 
Ms Ms Ms Ms M: Ms M: M: 
Mo: Ms Ms Ms: Ms MM: Mi Ms 
Mes Mss M1 Ms Ma Ms Ms MM 
2. DES 每 轮 结构 
DES 每 轮 的 结构 如 图 3. 6 所 示 。 上 一 轮 的 右边 R;_1 直接 
变换 为 下 一 轮 的 左边 L;, 上 一 轮 的 左边 L;_1 与 加 密 函 数 下 异 或 
后 作为 下 一 轮 的 右边 R;。 加 密 函 数 下 则 是 上 一 轮 右 边 R;_!1 和 
子 密 钥 K; 的 函数。 即 
Ls = Ri 
R= Ley @ PR ss Ri 
加 密 函 数 下 本 质 上 是 R;_1 和子 密 钥 K; 的 异 或 ,如 图 3.7 
所 示 。 但 由 于 它们 的 位 数 不 一 样 ,不 能 直接 运算 。 从 上 式 可 以 “图 3.6 DES 每 一 轮 结构 
看 出 加 密 函 数 下 是 32 位 ,而 Ri-1 是 32 位 , 子 密 钥 K; 是 48 位 ,因此 R;-1 和 K; 不 能 直接 异 
或 。DES 这 样 处 理 这 个 问题 , 先 用 扩展 置换 EE( 如 图 3. 8 所 示 ) 将 Ri_1 扩 展 为 48 位 ,与 48 位 
子 密 钥 异 或 ,输出 48 位 ,再 使 用 8 个 S 盒 压缩 成 32 位 ,然后 经 置换 函数 P( 如 图 3.9 所 示 ) 
输出 32 位 的 加 密 函 数 下。 


Ri1(32bits) 


Ce CJ Ee) CJ Ce J Ce | | 


Go) 


3.7 加 密 函 数 正 的 计算 过 程 


四 


32 1 2 3 4 5 
4 5 6 7 8 9 
8 9 10 11 12 13 


| 16 7 20 21 2 12 ‘28 17 
a | 15 23 26 5 18 ”0 
20 |21 22 23 24 |25 . a 

24 125 26 27 28 |29 2 
28 29 30 31 32 1 19 13 30 6 22 11 4 25 


图 3.8 扩展 置换 EE 图 3.9 置换 函数 P 
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在 加 密 函 数 计算 过 程 中 使 用 了 8 个 S 盒 :S 盒 是 DES 保密 性 的 关键 所 在 , 它 是 一 种 非 
线性 变换 ,也 是 DES 中 唯一 的 非 线 性 运算 。S 盒 有 6 位 输入 ,4 位 输出 。48 位 数据 经 过 8 
个 S 盒 后 输出 32 位 数据 。 

每 个 S 盒 都 由 4 行 (表示 为 0.1.2.3) 和 16 列 (0、1、…、15) 组 成 ,如 图 3. 10 所 示 。 每 行 
都 是 全 部 的 16 个 长 为 4 比特 串 的 一 个 全 排列 ,每 个 比特 串 用 它 对 应 的 二 进 制 整数 表示 。 如 
1001 用 9 表示 。48 位 的 输入 被 分 成 8 个 6 位 的 分 组 ,每 个 分 组 进入 一 个 S 盒 进行 代 换 操 
作 ,然后 映射 为 4 位 输出 。 对 每 个 S 盒 ,将 6 位 输入 的 第 一 位 和 最 后 一 位 组 成 一 个 二 进 制 
数 , 用 于 选择 S 盒 中 的 一 行 。 用 中 间 的 4 位 选择 S 盒 16 列 中 的 某 一 列 ,行列 交叉 处 的 十 进 
制 数 转换 为 二 进 制 数 可 得 到 4 位 输出 。 


14 4 13 1 2 15 11 8 3 10 6 12 9 0 7 
S， 0 15 7 4 14 2 13 1 10 6 12 | 9 5 3 8 
4 1 14 8 13 6 | 15 12 S 3 10 5 0 
15 12 8 2 4 9 | 7 5 11 3 14 10 0 6 13 
15 1 14 6 11 3 9 2 13 12 0 5 10 
13 4 7 15 14 12 0 | 10 6 9 11 5 
S 0 14 更 -内 13 5 8 12 6 9 3 2 15 
13 8 10 " 3 15 2 而 6 区 12 0 5 14 9 
10 0 9 14 6 15 5 13 12 7 4 2 8 
13 7 3 10 2 8 14 12 11 15 1 
S, 13 6 4 9 8 15 3 了 1 2 12 5 10 14 
1 10 13 0 6 7 4 15 14 3 11 5 2 12 
7 13 14 3 0 6 9 10 1 2 8 5 ih 12 15 
s, 13 8 11 5 6 15 0 3 7 2 12 1 10 14 
10 6 9 0 12 11 学 13 15 1 3 14 5 2 
3 15 0 6 10 1 13 8 4 5 11 12 7 2 14 
2 12 4 1 7 10 11 6 8 5 3 15 13 0 14 9 
14 11 12 4 7 13 和 5 15 10 3 9 8 6 
时 4 2 11 10 13 ? 8 15 9 12 5 6 3 0 14 
11 8 12 2 1 14 2 13 6 15 0 9 10 4 5 3 
12 1 10 15 9 2 6 8 0 13 4 14 久 5 11 
10 15 4 2 人“ 12 9 6 1 13 14 11 8 
* 9 14 15 5 2 8 12 7 0 4 10 1 13 11 
4 3 2 12 9 5 15 10 11 14 1 7 6 0 8 13 
11 2 14 15 0 8 13 3 12 9 党 10 6 1 
13 0 11 Vg 4 9 10 14 3 5 12 15 8 6 
六 4 11 13 12 3 学 14 10 15 6 8 5 9 2 
6 11 13 8 1 4 10 7 9 5 0 15 14 2 3 12 
13 2 8 4 6 15 11 1 10 9 3 14 5 0 12 La 
V5 13 8 10 3 人 4 12 5 6 11 0 14 9 2 
沁 11 4 1 本 12 14 2 0 6 10 13 15 3 5 8 
2 1 14 7 4 10 8 13 15 12 9 0 3 5 6 11 


图 3.10 DES 的 S 盒 


例如 对 于 Si 盒 而 言 ,如 果 输 入 为 011001, 则 行 是 01( 十 进 制 1, 即 S 盒 的 第 2 行 ), 列 
1100(12, 即 S 盒 的 第 13 列 ) ,该 处 的 值 是 9, 转换 为 二 进 制 数 为 1001, 即 为 该 S 盒 的 输出 。 
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3.5.2 DES 子 密 钥 产 生 


DES 加 密 过 程 共和 迭代 16 轮 , 每 轮 用 一 个 不 同 的 48 位 子 密 钥 。 这 些 子 密 钥 由 算法 的 
56 位 密 钥 产生 。DES 算法 的 输入 密 钥 长 度 是 64 位 ,但 只 用 了 其 中 的 56 位 ,如 图 3.11 所 
示 。 图 中 无 阴影 部 分 ,也 就 是 每 行 的 第 8 位 被 忽略 ,主要 用 于 奇偶 校 验 ,也 可 以 是 随意 
设置 。 


1 2 3 4 5 6 区 8 
| 16 
W202 24 
270082800 E290 3530031 32 
B30 24 03609 0 
W229 48 
49 50 51 52 53 54 55 56 
57 58 59 60 61 62 63 64 
图 3.11 DES 的 输入 密码 
子 密 钥 的 产生 过 程 如 图 3. 12 所 示 。 
输入 56 位 密 钥 
置换 选择 1 
1 
Co [Do 
1 1 
循环 左 移 h(1) 位 循环 左 移 h(D) 位 
1 
Ci Di 
| 二 | 置换 选择 2| ~ K 
循环 左 移 2) 位 循环 左 移 h2) 位 
1 
C> D; 
1 人 | 辕 换 选择 2| Ks 
循环 左 移 h(16) 位 循环 左 移 h(16) 位 
1 
Cie Di6 
人 | 置换 选择 2| Kie 


图 3.12 子 密 钥 产生 过 程 


56 位 密 钥 首先 经 过 置换 选择 1( 如 图 3. 13 所 示 ) 将 其 位 置 打 乱 重 排 , 并 将 前 28 位 作为 
Co (如 图 3. 13 所 示 的 上 面部 分 ) ,后 28 位 Du( 如 图 3. 13 所 示 的 下 面部 分 ) 。 

接 下 来 经 过 16 轮 ,产生 16 个 子 密 钥 。 每 一 轮 迭 代 中 ,C;_1 和 Di: 循环 左 移 1 位 或 者 2 
位 ,如 图 3.14 所 示 。C;-1 和 D;_1 循 环 左 移 后 变 为 C; 和 D;, 将 C; 和 DD; 合 在 一 起 的 56 位 ,经 过 
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图 3.13 置换 选择 1 
置换 选择 2( 如 图 3. 15 所 示 ) ,从 中 挑 出 48 位 作为 这 一 轮 的 子 密 钥 ,这 个 子 密 钥 作为 前 面 介 
绍 的 加 密 函 数 的 一 个 输入 。 青 将 C: 和 D, 循 环 左 移 后 ,使 用 置换 选择 2 产生 下 一 轮 的 子 密 
钥 , 如 此 继续 ,产生 所 有 16 个 子 密 钥 。 


和 迭代 轮 数 1 2 3 4 5 6 7 8 9 10 911 12 13 14 15 16 
移 位 次 数 1 1 2 2 2 2 2 2 1 2 2 2 2 2 2 1 


14 17 11 24 1 5 3 28 
15 21 10 23 19 12 4 
26 8 16 27 20 13 2 


34 53 46 42 50 36 29 32 


图 3.15 置换 选择 2 


例 3.8 用 DES 加 密 , 明 文 M==(0123456789ABCDEF)1s 二 (00000001 00100011 01000101 
01100111 10001001 10101011 11001101 11101111);, 密 钥 K 二 (133457799BBCDFF1)w 一 
(00010011 00110100 01010111 01111001 10011011 10111100 11011111 11110001)，。 

加 密 过 程 如 下 : 

(1) 初始 置换 

将 明文 M 经 过 初始 置换 后 分 左右 两 半 。 

Lo 一 11001100 00000000 11001100 11111111 

有 R, 王 11110000 10101010 11110000 10101010 

(2) 第 1 轮 和 迭代 运算 

@ 先 确定 子 密 钥 Ki ,将 密 钥 K 经 置换 选择 1 得 : 

Co=11110000 11001100 10101010 1111 

D, =01010101 01100110 01111000 1111 

左 移 1 位 后 经 过 置换 选择 2 输出 48 位 Ki。 

Ki=00011011 00000010 11101111 11111100 01110000 01110010 

@ 计算 加 密 函 数 下 

用 扩展 置换 瓦 将 尺 。 扩 展 为 48 位 .再 和 天, 异 或 。 

E(R,)® Ki=01100001 00010111 10111010 10000110 01100101 00100111 
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经 8 个 S 盒 输出 32 位 。 
Si(011000) 王 0101,S:(010001) 王 1100,S:(011110) 王 1000,S,(111010) 一 0010 
Ss (100001)=1011,S6 (100110)=0101,S;(010100)=1001.,Ss (100111)=0111 
经 转换 函数 PP 输出 加 密 函 数 下 如 下 。 
F=00100011 01001010 10101001 10111011 
@ 由 Lo。 和 Ro。 计算 出 Li 和 Ri 
Li=R,=11110000 10101010 11110000 10101010 
Ri=L,® F(R,,K1)=11101111 01001010 01100101 01000100 
因此 经 过 第 1 轮 , 得 到 : 
[Ri,L1]= (EF4A6544FOAAFOAA)is 
进行 类 似 的 运算 ,经 过 16 轮 后 得 到 的 结果 是 
[Ri ,Li d= (0A4CD99543423234)1e 
(3) 道 初始 置换 
将 第 16 轮 输出 合并 为 一 个 64 位 比特 串 ,经 过 逆 初 始 置 换 后 得 到 64 位 密 文 : 
10000101 11101000 00010011 01010100 
00001111 00001010 10110100 00000101 


3.5.3 DES 解密 


DES 解密 过 程 与 加 密 过 程 本 质 上 一 致 ,加 密 和 解密 使 用 同一 个 算法 ,使 用 相同 的 步 又 
和 相同 的 密 钥 。 主 要 不 同 点 是 将 密 文 作为 算法 的 输入 ,但 是 逆序 使 用 子 密 钥 k;, 即 第 1 轮 使 
用 子 密 钥 ki ,第 2 轮 使 用 子 密 钥 kis ,最 后 一 轮 使 用 子 密 钥 Al 。 


3.5.4 DES 的 强度 


从 发 布 时 起 ,DES 就 备 受 争议 ,很 多 研究 者 怀疑 它 所 提供 的 安全 性 。 争 论 的 焦点 主要 
集中 在 密 钥 的 长 度 .和 迭代 次 数 以 及 S 盒 的 设计 等 方面 。 

DES 的 安全 性 是 依赖 S 盒 。 由 于 DES 里 所 有 计算 ,除去 S 盒 , 全 是 线性 的 。 可 见 S 盒 
对 密码 体制 的 安全 性 重要 性 。 但 是 自从 DES 公布 以 来 ,S 盒 设 计 详 细 标准 至 今 没 有 公开 。 
因此 就 有 人 怀疑 S 盒 里 隐藏 了 陷 门 CTrapdoors)。 然 而 到 目前 为 止 也 没有 任何 证 据 证 明 
DES 里 确实 存在 陷 门 。 事 实 上 ,后 来 表明 S 盒 是 被 设计 成 能 够 防止 差分 密码 分 析 。 

DES 是 将 Lucifer 算法 作为 标准 ,Lucifer 算法 的 密 钥 长 度 128 位 ,但 DES 将 密 钥 长 度 
改 为 56 位 。56 位 密 钥 共有 2” 二 7.2X10* 可 能 值 ,这 不 能 抵抗 穷尽 密 钥 搜 索 攻 击 。 例 如 在 
1997 年 ,科罗拉多 州 的 程序 员 Verser 在 Internet 上 数 万 名 志愿 者 的 协作 下 用 96 天 的 时 间 
找到 了 密 钥 长 度 为 40 位 和 48 位 的 DES 密 钥 。1998 年 电子 边境 基金 会 (EFF) 使 用 一 台 价 
值 25 万 美元 的 计算 机 在 56 小 时 之 内 破译 了 56 位 的 DES。1999 年 ,电子 边境 基金 会 
(EFF) 通 过 互联 网 上 的 10 万 台 计 算 机 合作 , 仅 用 22 小 时 15 分 破译 了 56 位 的 DES。 因 此 
需要 寻找 一 个 算法 替代 DES。 

另外 ,DES 存在 弱 密 钥 。 如 果 一 个 密 钥 所 产生 的 所 有 子 密 钥 都 是 一 样 的 , 则 这 个 外 部 
密 钥 就 称 为 弱 密 钥 。DES 算法 的 子 密 钥 是 通过 对 一 个 64 位 的 外 部 密 钥 进行 置换 得 到 的 。 
外 部 密 钥 输入 到 DES 后 ,经 密 钥 置换 后 分 成 两 半 ,每 一 半 各 自 独立 移 位 。 如 果 每 一 半 的 所 
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有 位 都 是 0 或 者 1, 那 么 在 算法 的 任意 一 轮 所 有 的 子 密 钥 都 是 相同 的 。 当 主 密 钥 是 全 0 全 
1 ,或 者 一 半 是 全 0 一 半 是 全 1 时 ,就 会 发 生 这 种 情况 。 因 此 ,DES 存在 弱 密 钥 。 


3.5.5 三 重 DES 


DES 由 于 安全 问题 ,美国 政府 于 1998 年 12 月 宣布 DES 不 再 作为 联邦 加 密 标准 。 新 的 
美国 联邦 加 密 标准 是 高 级 加 密 标 准 (ASE)。 在 新 的 加 密 标准 实施 之 前 ,为 了 使 已 有 的 DES 
算法 投资 不 浪费 ,NIST 在 1999 年 发 布 了 一 个 新 版 本 的 DES 标准 (FIPS PUB46-3) ,该 标准 
指出 DES 仅 能 用 于 遗留 的 系统 ,同时 将 三 重 DES(3DES) 取 代 DES 成 为 新 的 标准 。3DES 
明显 存在 几 个 优点 。 首 先 它 的 密 钥 长 度 是 168 位 ,足以 抵抗 穷 举 攻击 。 其 次 ,3DES 的 底层 
加 密 算法 与 DES 的 加 密 算法 相同 ,该 加 密 算法 比 任何 其 他 加 密 算法 受到 分 析 的 时 间 要 长 得 
多 ,也 没有 发 现 有 上 比 穷 举 攻击 更 有 效 的 密码 分 析 攻 击 方法 。 

最 简单 的 多 重 DES 加 密 是 用 DES 加 密 两 次 ,每 次 用 不 同 的 密 钥 ,这 就 是 双重 DES。 但 
双重 DES 不 安全 ,没有 被 人 们 使 用 。 图 3. 16 是 双重 DES 的 加 密 和 解密 。 对 于 一 个 明文 M 
和 两 个 加 密 密 钥 民 ， 和 K, ,加 密 过 程 为 C=Ex, [Ex [MJ], 解 密 过 程 为 M= Dx, [Dx, [C]]。 
密 钥 总 长 度 为 112 位 ,似乎 密码 强度 增加 了 一 倍 ,但 由 于 双重 DES 存在 中 间 相 过 攻击 ,使 它 
的 强度 跟 一 个 56 位 DES 强度 差不多 。 

从 图 3. 16 中 可 以 观察 到 C= Ex, [Exr, CLM]J, 则 X=Ex, [MJ==Dx, [CJ。 若 已 知 CM,C)， 
攻击 方法 如 下 : 先 用 2* 个 可 能 的 Ki 加 密 M, 得 到 2 个 可 能 的 值 ,将 这 些 值 从 小 到 大 存 入 
一 个 表 中 ; 再 对 2”* 个 可 能 的 天, 解密 C, 每 次 做 完 解密 ,将 所 得 的 值 与 表 中 的 值 比较 ,如 果 
产生 匹配 , 则 它们 对 应 的 密 钥 可 能 是 K 和 天 * 。 用 一 个 新 的 明文 密 文 对 检测 所 得 两 个 密 
钥 , 如 果 两 密 钥 产 生 正确 的 密 文 , 则 它们 是 正确 的 密 钥 。 

为 防止 中 间 相 遇 攻 击 ,可 以 采用 3 次 加 密 方 式 , 如 图 3. 17 所 示 。 这 是 使 用 两 个 密 钥 的 
三 重 DES ,采用 加 密 -解密 加密 (E-D-E) 方 案 。 加 密 为 C 一 Eu LDx, LEx, LMj]]j, 解 密 为 
M 二 Dx, [Ex, [Du [C]]]。 注 意 的 是 ,加 密 与 解密 在 安全 性 上 来 说 是 等 价 的。 这 种 加 密 方案 
的 攻击 代价 是 2'”。 


后 二 Kk 和 后 
M 一 =~( E XE}-c M—=(E }4- (DEE} -~c 
加 密 加 密 
K; KI Ki 天 2 Kl 
c 一 ~LD (DM c—(D}E-( EE} (DM 
解密 解密 
图 3.16 双重 DES 图 3.17 三 重 DES 


目前 还 没有 针对 两 个 密 钥 的 三 重 DES 实际 的 攻击 方法 ,但 是 感觉 它 不 大 可 靠 ,如 果 采 
用 三 把 密 钥 的 三 重 DES 则 比较 放心 。 三 把 密 钥 的 三 重 DES 的 密 钥 长 度 是 168 位 ,采用 加 
密 -解密 -加 密 (E-D-E) 方 案 。 其 加 密 过 程 为 C= Ex, [Du [Ex [LM]]], 解 密 过 程 为 M 一 
Dx, LEx,[LDx, [CJ]]]。 目 前 这 种 加 密 方式 已 经 被 一 些 网 络 应 用 采用 ,如 本 书后 面 章节 要 讨 
论 的 PGP 和 S/MIME 采用 了 这 种 方案 。 
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3.6 高 级 加 密 标准 


由 于 DES 存在 安全 问题 ,而 三 重 DES 算法 运行 速度 比较 慢 , 三 重 DES 中 的 轮 式 DES 
的 3 信 , 因 此 速度 比 DES 慢 很 多 。 其 次 三 重 DES 的 分 组 长 度 为 64 位 ,就 效率 和 安全 性 而 
言 , 分 组 长 度 应 该 更 长 。 这 就 注定 三 重 DES 不 能 成 为 长 期 使 用 的 加 密 标准 。 为 此 ,美国 国 
家 标准 技术 研究 所 (NIST) 在 1997 年 公开 征集 新 的 高 级 加 密 标 准 (Advanced Encryption 
Standards,AES) ,要 求 AES 比 3DES 快 而 且 至 少 和 3DES 一 样 安全 ,并 特别 提出 高 级 加 密 
标准 的 分 组 长 度 为 128 位 的 对 称 分 组 密码 , 密 钥 长 度 支持 128 位 、192 位 和 256 位 。 

1997 年 9 月 给 出 的 选择 高 级 加 密 标准 的 评估 准则 如 下 。 

(1) 安全 性 : 由 于 AES 最 短 的 密 钥 长 度 是 128 位 ,所 以 使 用 目前 的 技术 , 穷 举 攻击 不 用 
考虑 。 因 此 AES 应 重点 考虑 能 否 抵抗 各 种 密码 分 析 方 法 的 攻击 。 

(2) 代价 : 指 计算 效率 方面 。NIST 期 望 AES 能 够 广泛 应 用 于 各 种 实际 应 用 ,因此 要 
求 AES 必须 具有 很 高 的 计算 效率 。 

(3) 算法 和 执行 特征 : 指 算法 的 灵活 性 、 简 洁 性 以 及 硬件 与 软件 平台 的 适应 性 等 方面 。 
1998 年 6 月 NIST 共 收 到 21 个 提交 的 算法 ,在 同年 的 8 月 首先 选 出 15 个 候选 算法 。1999 
年 NIST 从 15 个 AES 候选 算法 中 迟 选 出 5 个 候选 算法 ,它们 是 : MARS( 由 IBM 公司 研究 
部 门 的 一 个 庞大 团队 发 布 ,对 它 的 评价 是 算法 复杂 、 速 度 快 、 安 全 性 高 )、RC6( 由 RSA 实验 
室 发 布 ,对 它 的 评价 是 极 简单 .速度 极 快 、 安 全 性 低 )、Rijndael( 由 Joan Daemen 和 Vincent 
Rijmen 两 位 比利时 密码 专家 发 布 , 对 它 的 评价 是 算法 简洁 、 速 度 快 、 安 全 性 好 )、Serpent( 由 
Ross Anderson ,Eli Biham 和 Lars Knudsen 发 布 ,对 它 的 评价 是 算法 简洁 、 速 度 慢 ,安全 性 
极 高 ) 和 Twofish( 由 Counterpane 公司 一 个 庞大 的 团队 发 布 ,对 它 的 评价 是 算法 复杂 ,速度 
极 快 、 安 全 性 高 )。 从 全 方位 考虑 ,Rijndael( 读 成 Rain DolD) 汇 聚 了 安全 ,性 能 ,效率 、 易 用 和 
灵活 等 优点 ,使 它 成 为 AES 最 合适 的 选择 。 在 2000 年 10 月 Rijndael 算法 被 选 为 高 级 加 密 
标准 ,并 于 2001 年 11 月 发 布 为 联邦 信息 处 理 标 准 (Federal Information Processing 
Standard,FIPS) ,用 于 美国 政府 组 织 保护 敏感 信息 的 一 种 特殊 的 加 密 算 法 , 即 FIPS PUB 
197 标准 。 


3.6.1 AES 的 基本 运算 


第 2 章 已 经 介绍 了 AES 的 主要 数学 基础 ,为 了 更 好 地 理解 AES 的 加 密 过 程 ,这 部 分 将 
介绍 与 AES 相关 的 一 些 规定 以 及 运算 方法 。AES 算法 中 有 些 是 以 字 节 为 单位 进行 运算 ， 
也 有 的 是 以 4 个 字 节 ( 即 一 个 字 ) 为 单位 的 。 它 将 一 个 字 节 看 做 是 在 有 限 域 GF(2s) 上 的 一 
个 元 素 ,一 个 字 看 成 是 系数 取 自 GF(2) ,并且 次 数 小 于 4 的 多 项 式 。 

1. AES 中 的 字 节 运算 

在 AES 中 一 个 字 节 是 用 有 限 域 GF(2) 上 的 元 素 表示 。 有 限 域 上 的 元 素 有 多 种 表示 方 
法 ,AES 主要 采用 多 项 式 表示 。 

有 限 域 GF(2*) 上 的 加 法 定义 为 二 进 制 多 项 式 的 加 法 .其 系数 是 模 2 相 加 。 此 处 加 法 是 
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异 或 运算 ( 记 为 四 ) ,1 甸 1= 二 0,1 旬 0 二 1,0 田 0 二 0。 因 此 ,多 项 式 减 法 与 多 项 式 加 法 的 规则 相 
同 。 对 于 两 个 字 节 {arasasasasazaiao} 和 {6brbebsb4b3bzb10o), 其 和 为 {crcecscacsczcico) ,ci 一 
ai@Dobi( 即 cr az Dbr ,cs as Dbe co a Dbo) 。 


例如 ,下 述 表 达 式 彼此 相等 。 

(z' 二 wt 和 十 2 十 x 十 1) 十 (zw? 十 zz 十 =w? 十 x' 十 wt 十? (多 项 式 记 法 ) 
{01010111}@{10000011} = {11010100} (二 进 制 记 法 ) 
{57}®{83}={d4} (十 六 进 制 记 法 ) 


在 有 限 域 GF(2*) 上 的 乘法 ( 记 为 。 ) 定 义 为 多 项 式 的 乘积 模 一 个 次 数 为 8 的 不 可 约 多 
项 式 : 
m(z) = x 二 x 十 x 十 xz 十 1 
TR ll 式 为 {01) 
例如 ,{57}。 = os 
Ca ji 而 多 十 胡 
二 室 十 wx 十 2 十 下 十 十 十 2 十 十 十 二 十 十 十 必 十 1 
二 X33 十 zi 十 xz? 十 XT 十 x 十 十 XX 十 十 1 
而 (z3 十 za 十 z9 十 zs 十 zs 十 z5 十 z 十 z3 十 1) mod (zw 十 Xt 十 XT 十 ZX 十 1) 二 Xx? 十 x 十 1 
模 m(z) 确 保 了 所 得 结果 是 次 数 小 于 8 的 二 进 制 多 项 式 , 因 此 可 以 用 一 个 字 节 表示 。 
如 果 <Cz)。pCz) mod m(z) 二 1, 则 称 5(x) 为 a(x) 的 道 元 。 
在 AES 中 的 倍 乘 函数 xtime() 是 用 多 项 式 x 乘 一 个 二 进 制 多 项 式 后 青 模 mm (x) 。 
用 多 项 式 xz 乘 以 b(x) 将 得 到 
brzs 二 bex' 十 pb578 十 bzs 十 bz 十 box 十 bx? 十 box 
将 上 述 结果 模 m(x) 即 可 得 到 xz，b(x) 的 结果 。 如 果 4b 二 0, 则 该 结果 已 经 是 模 运算 后 
的 形式 。 如 果 4 二 1, 则 模 运 算 需 要 异 或 多 项 式 m(x) 完 成 。 由 此 , 乘 x( 即 {00000010}) 或 十 
六 进 制 {02)) 可 通过 字 节 内 左 移 一 位 , 紧 接 着 的 一 个 与 {1B}) 按 位 异 或 来 实现 。 将 该 操作 记 
为 5 二 xtime(a)。 通 过 将 中 间 结 果 相 加 ,可 以 用 ztime() 实 现任 意 常 数 的 乘法 。 
例如 ,{57}。{13)=={fe} ne 


{57} 。 {02}= 二 xtime({57})= {ae} 
{57 Eee e})={47} 
{57} 。 {08} 二 xtime({47}) 二 {8e} 
{57} 。 {10}= 二 xtime({8e})= {07} 
因此 
{57} » {13}={57} + ({01}@®1{02}®{10}) 
={57}@® {ae}®{07} 
= {fe} 


2. AES 中 的 字 运 算 
AES 中 的 32 位 字 表 示 为 系数 在 有 限 域 GF(2*) 上 的 次 数 小 于 4 的 多 项 式 。 考 虑 含有 4 
个 项 且 系 数 为 有 限 域 元 素 的 多 项 式 . 即 


azr) = asz3 十 azz2 十 az 十 ao 
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它 可 以 表示 为 如 下 形式 [ao ,ai,as，asj] 的 字 (word)。 注 意 这 里 的 多 项 式 与 前 面 有 限 域 
元 素 定义 中 使 用 的 多 项 式 操作 不 同 , 即 使 这 两 类 多 项 式 均 使 用 相同 的 变量 x。 这 里 的 系数 
本 身 就 是 有 限 域 元 素 , 即 字 节 (bytes) 而 不 是 位 (bits) 。 另 外 ,该 4 项 多 项 式 的 乘法 使 用 了 一 
个 不 同 于 前 面 的 模 多 项 式 ,将 在 下 面 定 义 。 

为 说 明 加 法 和 乘法 运算 , 令 

bz) = 222 二 box bw 二 
为 男 一 个 4 项 多 项 式 。 加 法 是 对 zz 相应 次 数 项 的 有 限 域 系数 进行 相 加 运算 。 该 加 法 对 应 于 
相应 字 节 间 的 异 或 运算 。 
因此 
az) 十 6(z) 一 (as DB or as Bob)r ta Bb)zr+t ao 四 加) 
乘法 要 用 两 步 完 成 。 第 一 步 , 对 多 项 式 相 乘 的 结果 c(x) 二 a(x)，b(zx) 进 行 代数 扩展 : 


c(X) 一 cez6 十 cisz5 十 ctzt 十 cszs 十 czz2 十 ciz 十 co 


其 中 
co 一 ao。po =as* hOBas* bs Bae bs 
cl 一 a。pb Ba bh cs = as * bs 中 ca » bs 
cz = as* bo Bab Da bs ce = as* bs 


cs = as* bo Das hb DBal* ba :bs 
所 得 结果 c(x) 并 没有 表示 为 一 个 4 字 节 的 字 。 因 此 ,乘法 的 第 二 步 是 模 一 个 4 次 多 项 式 来 
化 简 c(x) ,使 得 结果 化 简 为 一 个 次 数 小 于 4 的 多 项 式 。 在 AES 算法 中 ,这 一 模 多 项 式 取 为 
埃 寺 1 和 击 于 
Xi mod (z+1) = rit 
则 a(xz) 和 w(xz) 取 模 的 乘积 记 为 a(x)C9b(x) ,表示 为 下 述 的 4 项 多 项 式 d(x), 即 
d(x) 一 doszs 十 dz2z 十 dz 十 do 

其 中 

do = ao* bo Bas* biBas* bs Ba bs 

di 一 ap 四 ao bl Bas* bs@Da. bs 

ds = azs* bo Ba bi Ba bs Bas bs 

ds =as* bo Ba bh Ba bs Ba bs 
当 ca(z) 是 一 个 固定 多 项 式 时 ,等 式 中 定义 的 运算 可 以 写成 矩阵 形式 .如 ， 


do ao as az aillbo 
di a ao as as | 
cz 闻 az al ao as ||b; 
ds aa az a aoj Los 


由 于 x 十 1 不 是 GF(2) 上 的 不 可 约 多 项 式 , 因 此 被 一 个 固定 的 4 次 多 项 式 相 乘 的 乘法 不 一 
定 可 逆 。 然 而 ,在 AES 算法 中 选择 了 一 个 固定 的 有 逆 元 的 4 项 多 项 式 的 乘法 , 它 按照 乘法 
运算 有 逆 元 。 

az) 一 (03)}zs 十 {01}z2 十 {01}z 十 {02} 

az) = {06}zx’ 二 {0d}zx’? 二 {09}zx+ {0e} 
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在 AES 算 法 的 密 钥 扩展 部 分 中 还 要 用 到 的 另 一 个 多 项 式 (RotWord() 函数 ) 为 ao 一 ai 一 
az 一 {00} ,as 一 {01), 即 多 项 式 x?。 该 多 项 式 的 效果 是 将 输入 字 中 的 字 节 循环 移 位 来 得 到 
输 + 4 字 , 即 Lb。 »b1 02 ,bj 将 变换 为 [bl »b2 ,Ds ,bo 。 


3.6.2 AES 加 密 


在 Rijndael 算法 中 ,分 组 长 度 和 密 钥 长 度 分 别 可 以 是 128 位 、192 位 和 256 位 。 而 在 
AES 中 ,分 组 长 度 只 能 是 128 位 。AES 算法 中 基本 的 运算 单位 是 字 节 , 即 视 为 一 个 整体 的 
8 比特 序列 。 如 果 分 组 长 度 和 密 钥 长 度 为 128 位 ,假如 字 节 数组 
将 表示 为 如 下 形式 。 


QoyQ1， Q2，… Q15 
其 字 节 排列 方式 如 图 3. 18 所 示 。 
如 果 密 钥 长 度 (或 在 Rijndael 中 的 明文 分 组 ) 为 192 位 、256 
位 时 ,组 成 的 两 个 矩阵 如 图 3. 19 和 图 3. 20 所 示 。 它 们 的 特点 是 ”图 3.18 128 位 (16 个 字 节 ) 


行 数 都 是 4, 列 数 不 同 。 购 手 际 扩 光 
ao Qt as als ais | Qzo ao as as Aas ds | dz0 | Q24 G28 
a as ay als QI17 Azl a as ay als al7 | Qs2l Q25 G29 
as as dio | Q14 Qls | Qzz as as Qlo | Q14 Ql8 | Qs2 ds6 ds0 
as ar an ais dig | G23 as ar a as Qle | G23 | Q27 Qa 
图 3.19 192 位 (24 个 字 节 ) 的 矩阵 排列 图 3.20 256 位 (32 个 字 节 ) 的 矩阵 排列 


这 些 矩 阵 有 4 行 , 分 组 的 列 数 记 为 NA6, Nb 二 分 组 长 度 (bits) 二 32(bits)。 显 然 Nb 可 以 
取 的 值 为 4.6 和 8, 分 别 对 应 的 分 组 长 度 为 128 位 、192 位 和 256 位 。 类 似 地 密 钥 的 列 数 记 
为 NA, NA 一 密 钥 长 度 (bits) 二 32(bits) 。NA 可 以 取 的 值 为 4.6 和 8, 对 应 的 密 钥 长 度 分 别 
为 128 位 .192 位 和 256 位 。 

密码 运算 的 中 间 结 果 都 是 以 上 面 的 形式 表示 , 称 之 为 状态 (State) 数 组 。AES 将 这 些 中 
间 结 果 复 制 到 状态 (State) 数 组 中 。 算 法 的 运行 过 程 是 将 需要 加 密 的 分 组 从 一 个 状态 转换 
为 另 一 个 状态 ,最 后 该 数组 被 复制 到 输出 矩阵 中 。 如 对 于 128 位 分 组 ,假设 加 密 和 解密 的 初 
始 阶段 将 输入 字 节 数组 为 ino yim，,…,ims 复 制 到 如 图 3. 21 所 示 的 状态 CState) 和 矩阵 中 。 加 
密 或 解密 的 运算 都 在 该 状态 和 矩阵 上 进行 ,最 后 的 结果 将 被 复制 到 输出 字 节 数组 outo ,ouni， 


OUti5 。 
输入 字 节 状态 矩阵 输出 字 节 
ino | ina | ins | ip soo | S01 | S02 | S03 outo | outs | outs |outi» 
inl | ins | ie | za | S11 | S12 | S13 OU | outs | outo |outal 
一 二 
ins | ine | inio | in s20 | $2.1 | 52. 2 | $523 outs | outs |outiol outia 
ins | in7 | in | ims S3.0 | S31 | S32 | 533 outs | out7 |outnlouns 


图 3.21 状态 矩阵 .输入 和 输出 


状态 矩阵 中 每 一 列 的 4 个 字 节 可 以 看 做 一 个 32bit 字 ,用 行 号 r 作为 每 一 个 字 中 4 个 字 
节 的 索引 。 因 此 状态 可 以 看 做 32bit 字 ( 列 ) ,ze…zres 的 一 维 数 组 ,用 列 号 c 表示 该 数组 的 
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索引 。 在 图 3. 21 中 ,该 状态 可 以 看 做 4 个 字 组 成 的 数组 ,如 下 所 示 : 
Wo 一 30,031,032,033,0 U2 一 50,251,252,253,2 


Wl 一 30,131,132,13S3,1 UW3 一 30,331,3 S2,3S3,3 


在 加 密 和 解密 的 初始 阶段 ,输入 数组 in 按照 下 述 规则 复制 到 状态 矩阵 中 。 
s[Lr,c] 一 in[Lr 十 4c] for 0<r<4 且 0<c<No 
在 加 密 和 解密 的 结束 阶段 ,状态 矩阵 将 按照 下 述 规 则 被 复制 到 输出 数组 out 中 。 
out[r+4c]=sLr,c] for 0<r=4 且 0<c<Nb 
AES 密码 是 一 种 迭代 式 密码 结构 .但 不 是 Feistel 密码 结构 。Rijndael 算法 迭代 的 轮 数 
与 分 组 长 度 和 密 钥 长 度 相 关 。 对 于 AES 算法 ,算法 的 轮 数 依赖 于 密 钥 长 度 。 将 轮 数 表示 为 
Nr, 当 Nk 二 4 时 Nr 二 10; 当 Nk 二 6 时 Nr 二 12; 当 Nk 一 8 时 Nr 二 14。 表 3.2 是 Rijndael 
算法 不 同 分 组 长 度 和 密 钥 长 度 对 应 的 迭代 轮 数列 。 


表 3.2 Rijndael 算法 迭代 轮 数 


轮 ” 数 分 组 长 度 为 128 分 组 长 度 为 192 分 组 长 度 为 256 
密 钥 长 度 为 128 10 12 14 
密 钥 长 度 为 192 12 i2 14 
密 钥 长 度 为 256 14 14 14 
当 分 组 长 度 和 密 钥 长 度 均 为 128 位 时 , AES 明文 
共和 迭代 10 轮 , 需 要 11 个 子 密 钥 。 其 加 密 过 程 如 
图 3. 22 所 示 。 前 面 9 轮 完 全 相同 ,每 轮 包 括 4 阶 Te 
段 ,分 别 是 字 节 代 换 (Byte Substitution), 行 移 位 广 「 字 节 代 换 
(Shift Rows) 、 列 混淆 (Mix Columns) 和 轮 密 钥 加 EE 
CAdd Round Key) ,最 后 一 轮 只 三 个 阶段 ,缺少 列 。 第 允 ( 一 于 
混淆 。 列 混 清 

在 加 密 时 ,将 输入 复制 到 状态 矩阵 中 。 经 过 ee 
初始 轮子 密 钥 加 后 ,通过 执行 10 轮 来 变换 状态 矩 ' 
阵 ,最 后 状态 将 被 复制 到 输出 。 图 3. 23 是 AES 加 i 
密 算法 的 伪 代 码 表示 ,每 一 个 变换 如 SubBytes()、 [|[ 字 节 代 换 
ShiftRows()、MixColumns() 和 AddRoundKey() ee 
都 作用 在 状态 (State) 上 ,数组 w[ ] 中 包含 了 密 钥 ”第 9 轮 i 
编排 得 到 的 密 钥 , 这 些 将 后 面部 分 说 明 。 除 了 最 一 入 
后 一 轮 , 所 有 的 轮 变换 均 相 同 。 最 后 一 轮 不 包括 人 「 轮 密 钥 加 子 密 钥 w[36.39] 
MixColumns() 变 换 。 -一 

字 节 代 换 

下 面 是 AES 中 出 现 的 一 些 参数 .符号 和 

函数 。 第 10 轮 行 移 位 
[位 | 

AddRoundKey() 加 密 和 解密 中 使 用 的 变 轮 密 钥 加 子 密 钥 w[40.43] 

换 , 将 一 个 轮 密 钥 异 或 到 状态 上 。 轮 密 钥 的 长 度 密 文 


等 于 状态 的 大 小 ( 即 对 于 Nb 一 4, 轮 密 钥 长 度 等 于 


abits/l6bytesy 图 3;227 AN 加密 过 各 
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begin 


Cipher(byte in[4 * Nb],byte out[4 * Nb],word w[Nbx (Nr+1)]) 


byte state[ 4,Nb] 
state 一 in 
AddRoundKey(state,w[0,Nb 一 1]) 
for round 王 1 step 1 to Nr 一 1 
SubBytes(state) 
ShiftRows( state) 


MixColumns(state) 
AddRoundKey(state,w[round* Nb,(round 十 1) * Nb 一 1]) 


end for 


SubBytes(state) 
ShiftRows(state) 


Out 一 State 


AddRoundKey(state, w[ Nr * Nb, (Nr+1) * Nb 一 1]) 


图 3.23 AES 加 密 算法 伪 代 码 


InvMixColumns() 解密 中 使 用 的 变换 ,MixColumns() 的 逆 变 换 。 


InvShiftRows() 
InvSubBytes() 
K 
MixColumns() 


解密 中 使 用 的 变换 .ShiftRows() 的 逆 变 换 。 

解密 中 使 用 的 变换 ,SubBytes() 的 逆 变 换 。 

密码 所 使 用 的 秘密 密 钥 。 

加 密 中 使 用 的 变换 ,以 状态 的 每 一 列 作 为 输入 ,混合 每 一 列 的 数据 
(彼此 独立 的 ) 得 到 新 的 列 。 


Nb 状态 包含 的 列 (32bit 字 ) 的 个 数 。 对 于 AES,Nb=4 

Nk 密 钥 包含 的 32bit 字 的 个 数 。 对 于 该 标准 ,Nk 二 4,6 或 8。 

Nr 轮 数 ,是 Nk 和 Nb( 固 定 的 ) 的 函数 。 对 于 该 标准 , Nr 二 10,12 或 
14。( 参 见 6. 3. ) 

Rcon[] 密 钥 扩展 算法 中 用 到 的 轮 常 数 。 

RotWord() 密 钥 扩 展 算法 中 使 用 的 函数 ,对 4byte 字 进 行 循环 移 位 。 

ShiftRows() 加 密 中 使 用 的 变换 ,将 状态 的 最 后 3 行 循环 移动 不 同 的 位 移 量 。 

SubBytes() 加 密 中 使 用 的 变换 ,利用 一 个 非 线性 字 节 替代 表 (S 盒 ) ,独立 地 对 
状态 的 每 个 字 节 进行 操作 。 

SubWord() 密 钥 扩展 算法 中 使 用 的 函数 , 它 以 4byte 字 作 为 输入 ,对 于 4 字 节 
中 的 每 一 字 节 分 别 应 用 S 盒 ,得 到 一 个 输出 字 。 

XOR 异 或 运算 

(9 异 或 运算 

© 两 个 多 项 式 (每 一 个 的 度 (degree) 均 小 于 4) 相 乘 再 模 x 十 1。 


3.6.3 字 节 代 换 


有 限 域 上 的 乘法 


字 节 代 换 (SubBytes()) 是 一 个 非 线 性 的 字 节 代 换 , 它 独立 地 将 状态 中 的 每 个 字 节 利用 
代 换 表 (S 盒 ) 进 行 运算 。S 盒 被 设计 成 能 够 抵挡 所 有 已 知 的 攻击 。 该 S 盒 (如 图 3. 24 所 
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示 ) 是 由 16X16 个 字 节 组 成 的 矩阵 ,包含 了 8 位 值 所 能 表达 的 256 种 可 能 的 变换 。State 中 
的 每 个 字 节 按照 如 下 的 方式 映射 为 一 个 新 的 字 节 : 将 该 字 节 的 高 4 位 作为 行 值 , 低 4 位 作 
为 列 值 , 然 后 取出 S 盒 中 对 应 行列 交叉 处 的 元 素 作为 输出 。 例 如 ,十 六 进 制 {195} 对 应 的 S 盒 
的 行 值 是 9, 列 值 是 5,S 盒 中 此 处 的 值 是 {2A}。 因 此 {95}) 被 映射 为 {2A)。 


kd 
坊 | 证 | 雹 | 急 | 寻 中 坊 | 全 | 这 时 | 全 i 态 | 祝 | 到 | 区 | 民 
63|7C|77|7B|F2|6B|6F|C5|30|01|67|2B|FE|D? |ABI76 
CA| 82 | C9|7D|EFA| 59 |47 | Fo|AD|D4|A2|AFE|9C|A4|721|cC0 
B7|EFD|93 |26|36|3F|EF7|CC|34|A5|E5|FL|71|D8|31|115 
04|C7|23|C3|18|96|05|9A|07|12|80|E2|EB|27|B2|75 
09|83|2C|1A|1B|6E|5A|AO|52|3B|De|B3|29|E3|2F|84 


EF|AA|FB|43|4D|33|85|45|F9|02|7F|50|3C|9F|A8 


>|elo|l nlwl=|lwolesl-|l= 


B|IE7|C8|37|6D|8D|ID5|4E|A9|6C|56|F4|EA|65|7A|AE| O08 


F |8C|Al1|89|0D|IBF|E6|42|68|41|99|2D|OF|BO|54|BB|16 
图 3.24 S 盒 


S 盒 按照 如 下 的 方式 构造 : 

(1) 逐 行 按照 上 升 排列 的 方式 初始 化 S 盒 。 第 一 行 是 {00}, {01),…,{0F}); 第 二 行 是 
{10},{11),…,{1F} 等 。 因此 在 xz 行 y 列 的 字 节 值 是 {xy}。 

(2) 把 S 盒 中 的 每 个 字 节 映 射 为 它 在 有 限 域 GF(2) 上 的 乘法 道 ; 其 中 ,元 素 {00} 映 射 
到 它 自身 {00)。 

(3) 把 S 盒 中 的 每 个 字 节 表 示 为 (0 ,bp ,bs ,0 ,0 ,0 ,0 ,00)8 位 ,对 S 盒 中 的 每 个 字 节 
中 的 每 个 位 做 如 下 变换 : 

太一 b; 由 Deir4) mods 四 ps mods ©® Dr) mods 由 ba mod 8 四 Ci 

其 中 ,对 于 0 三 i 二 8,6b; 是 字 节 的 第 i 位 ,ci 是 值 为 63} 或 {01100011} 的 字 节 c 的 第 i 位 。 在 
此 处 和 其 他 地 方 ,在 变量 的 右上 角 作 标记 (如 多) 表示 该 变量 将 用 右 侧 的 值 更 新 。AES 按照 
如 下 的 方式 用 矩阵 描述 S 盒 的 变换 。 


bo Lo 0 0 1 LL TS 上 
全 I LO 0 0 VB 1 
bs 0 0 
0 1 0 
Wl 1 1 0 0 ol lelo 
bs Le Ek es 0 | 1 
Be .sk i 0 | 
pa QQ 0 
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还 是 用 {95} 作 为 输入 ,可 以 计算 出 1{195} 在 GF(2s) 上 的 逆 为 {8A}, 用 二 进 制 表 示 为 


10001010, 代 入 上 述 变换 有 
A 1 1 1 0 
| 1 0 1 1 
生起 0 0 0 0 
下 0 了 0 1 
1111100 oflol lo®ll lo 
0 111110 olo 0 1 1 
站 站 1 i 1 0 
[0 0 0 0 0 
结果 为 00101010 ,用 十 六 进 制 表示 为 {2A} ,与 前 面 查 表 所 得 结果 一 样 。 


3.6.4 行 移 位 


行 移 位 (ShiftRows()) 是 一 个 简单 的 置换 ,在 行 移 位 变换 中 ,对 State 的 各 行进 行 循环 
左 移 位 ,State 的 第 一 行 保持 不 变 , 第 二 行 循 环 左 移 一 个 字 节 ,第 三 行 循环 左 移 两 个 字 节 ,第 
四 行 循环 左 移 三 个 字 节 ,如 图 3. 25 所 示 。 


, 
Ss 
A 
8 


循环 左 移 1 个 字 节 
qq 12 | ”13 


循环 左 移 2 个 字 节 


循环 左 移 3 个 字 节 


3.25 对 State 的 各 行 移 位 


对 Rijndael 而 言 ,由 于 分 组 长 度 是 128 位 、196 位 或 256 位 。 移 位 的 字 节 数 与 分 组 的 大 
小 有 关系 。 后 三 行 的 左 移 量 C1 、C; .Cs 与 分 组 长 度 N4( 和 矩阵 的 列 数 ) 的 关系 如 表 3. 3 所 示 。 


表 3.3 移 位 值 
Nb ben CG Cs 
4 1 2 3 
6 1 2 3 
8 1 3 4 


3.6.5 列 混淆 


列 混淆 (MixColumns()) 变 换 在 State 上 按照 每 一 列 ( 即 对 一 个 字 ) 进 行 运算 ,并 将 每 一 
列 看 做 4 次 多 项 式 , 即 将 State 的 列 看 做 GF(2*) 上 的 多 项 式 且 被 一 个 固定 的 多 项 式 <(Cz) 模 
ZX 十 1 乘 ,a(x) 为 
a(z) = {03}zx’ T+ {01}zx’ 二 {01}z+ {02} 
这 可 以 写成 矩阵 乘法 。 令 5 (x) 二 a(x)@s(z): 


第 3 章 ， 对称 密码 技术 67 


soe 02 03 01 011Tso- 
sl,e ol 02 03 Oi || si 
ead “| o<ce<m 
S2,c 01 01 02 03 || sz,- 
oe 03 01 “O01. 02qLs 


经 过 该 乘法 计算 后 ,一列 中 的 4 个 字 节 将 由 下 述 结果 取代 : 
so = ({02} » $s0..) DB ({03} 51.c) BD so BD sa. 
5 一 soe DB {02} sc) BD {03} sc) 四 ss 
52,c 一 So0,ce © Sle D ({02} » 5s2..) DB ({03} » 53,.) 
353, 一 ({(03)。soc) 中 Si Os. BD ({02} » s3..) 
图 3. 26 为 列 混淆 变换 示意 图 。 


MixColumns() 


$0,2 


图 3.26 列 混淆 变换 示意 图 


例 3.9 假设 State 矩阵 的 第 一 列 分 别 是 50,0 = 二 {87),s1,0 二 {6E}, sz,0 二 {46), ss 二 
{A6}。 经 过 列 混 消 变 换 后 ,so 一 {87} 映 射 为 s6,o 二 147), 试 计算 验证 这 一 结果 。 
第 1 列 第 1 个 字 节 的 代 换 方程 为 
({02} »。 {87}) ® ({03} » {6E}) 四 {46} 四 {A6} = {47} 
下 面 验证 上 面 等 式 成 立 。 用 多 项 式 表示 为 
{02} 一 工 
{87} 二 zx? 十 Xx? 十 x 十 1 
那么 
工 。(zZ7 十 z2 十 袜 十 1) 一 Za 十 z3 十 z2 十 并 
再 模 一 个 次 数 为 8 的 不 可 约 多 项 式 
7a(Z) = 二 x 十 x 十 x’ 十 ZX 十 1 
(十 十 x? 十 X) mod (x 十 x 十 十 xX 十 1)= 二 x 十 x? 十 1 
写成 二 进 制 形式 为 00010101。 
同样 可 以 计算 出 {103}。{6E} 王 10110010,{46} 王 01000110,{A6} 王 10100110。 因 此 
({02}。{87)) 四 ((03}。{(6E)) 四 (46} 四 (A6) 计 算 结果 为 
0001 0101 
1011 0010 
0100 0110 
由 1010 0110 


0100 0111 ={47} 
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3.6.6 轮 密 钥 加 


轮 密 钥 加 (AddRoundKey()) 在 轮 密 钥 加 变换 中 ,128 位 的 State 按 位 与 128 位 子 密 钥 
异 或 。 可 以 将 这 种 操作 看 成 是 State 一 列 中 的 4 个 字 节 与 轮 密 钥 的 一 个 字 进 行 异 或 ; 也 可 
以 看 成 是 两 者 之 间 的 字 节 异 或 。 


3.6.7 AES 的 密 钥 扩展 


如 果 分 组 长 度 和 密 钥 长 度 都 是 128 位 时 ,AES 的 加 密 算法 共和 迭 代 10 轮 , 需 要 11 个 子 
密 钥 。AES 的 密 钥 扩展 的 目的 是 将 输入 的 128 位 密 钥 扩展 成 11 个 128 位 的 子 密 钥 。AES 
的 密 钥 扩展 算法 是 以 字 为 一 个 基本 单位 ,而 不 是 以 位 为 操作 对 象 。 一 个 字 等 于 4 个 字 节 , 共 
32 位 ,刚好 是 密 钥 和 矩阵 的 一 列 。 因 此 4 个 字 (128 位 ) 密 钥 需要 扩展 成 11 个 子 密 钥 , 共 44 个 
字 。 若 Nr 表示 加 密 算法 轮 数 ,那么 密 钥 扩展 总 共生 成 NACNr 十 1) 个 字 ,并 需要 一 个 Nb 个 
字 组 成 的 初始 集合 ( 即 原始 密 钥 ) ,为 每 一 轮 产 生 Nb 个 字 的 子 密 钥 。 扩 展 后 的 密 钥 编排 结 
果 由 一 个 4-byte 字 的 线性 数组 组 成 , 记 为 Lw;], 其 中 0 二 i 二 Nb(Nr 十 1)。 图 3. 27 是 AES 
的 密 钥 扩展 算法 的 伪 码 表示 。 


KeyExpansion(byte key[4* Nk],work w[Nb* (Nr+1)],Nk) 
begin 
word temp 
i=0 
while(i<Nk) 
w[i]=word(key[4 * ,key[4 *i+1],key[4 *i+2],key[4 * i+3]) 
i 一 i 十 1 
end while 


i=Nk 


while(i<Nbx* (Nr+1)) 
temp=w[Li—1] 
if(i mod Nk=0) 
temp= SubWord( RotWord(temp)) xor Reon[i/Nk] 
else ifCNk 二 6 and i mod Nk=4) 
temp= SubWord(temp) 
end 让 
w[i]=w[i— Nk]xor temp 
i 一 i 十 1 
end while 
end 


图 3.27 AES 密 钥 扩展 伪 代 码 


SubWord() 函数 将 接受 一 个 4-byte 输入 字 ,对 每 一 个 字 节 应 用 S 盒 得 到 输出 字 。 函 数 
RotWord() 接 受 字 [ao ,ai ,az ,as] 作 为 输入 ,执行 循环 移 位 后 返回 字 [al ,as ,as ,ao]。 轮 常数 
字数 组 Reoz[i, 包 含 了 由 [zx !,{00},{00),{00)] 给 定 的 值 (注意 这 里 的 i 从 1 开始 ,而 不 
是 0) ,zx 一 :是 有 限 域 GF(28) 上 z(z 记 为 102)) 的 指数 寡 。 

如 图 3. 27 所 示 ,第 一 个 子 密 钥 的 NA 个 字 由 密码 的 原始 密 钥 直接 填充 。 接 下 来 的 每 个 
字 w[ 引 ,等 于 其 前 一 个 字 w[i 一 1 与 Nk 个 位 置 之 前 的 字 w[Li 一 Nkj 的 异 或 。 对 于 NA 的 整 
数 倍 位 置 的 字 , 在 异 或 之 前 ,要 对 w[i 一 1] 进 行 一 次 变换 ,该 变换 先进 行 一 次 字 的 字 节 左 循 
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环 移 位 (RotWord()) ,然后 再 做 一 次 字 节 替代 变换 (SubWord()) , 即 对 字 中 的 4 个 字 节 应 用 
查 表 。 再 异 或 一 个 轮 常 数 。 
需要 注意 256bit 密 钥 CNA 王 8) 的 密 钥 扩展 程序 与 128bit 和 192bit 密 钥 的 稍 有 不 同 。 如 果 
Nk 二 8 且 i 一 4 是 NA 的 整数 倍 , 异 或 之 前 对 w[i 一 1j 要 做 一 次 字 节 替代 (SubWord()) 变 换 。 
下 面 以 Nk 二 4( 即 密 钥 为 128 位 ) 为 例 , 先 概括 AES 的 密 钥 扩展 过 程 ,随后 给 出 了 密 钥 


扩展 的 例子 。 

密 钥 扩 展 过 程 如 下 。 

(1) 将 输入 密 钥 直接 复制 到 扩展 密 钥 数组 的 前 4 个 字 中 ,得 到 w[0j],w[1],w[L2]j]， 
[3]。 


(2) 然后 每 次 用 4 个 字 填 充 扩展 密 钥 数组 w 的 余下 部 分 ,w[ 疏 值 依赖 于 w[ 一 1] 和 
w[i 一 4],i 之 4。 

(3) 当 数 组 w 下 标 不 是 4 的 倍数 时 ,w[ 站 值 为 w[i 一 1] 和 w[i 一 4] 的 异 或 。 

(4) 当 数 组 w 下 标 为 4 的 倍数 时 ,按照 下 面 方 法 计算 : 

@ 将 一 个 字 的 4 个 字 节 循环 左 移 一 个 字 节 ,即将 输入 字 [6 ,6 ,bs ,bj 变 为 [bi ,bs ,bs， 
Ww; 

@ 用 S 盒 对 输入 字 的 每 个 字 节 进行 字 节 代 换 。 

@ 将 步骤 1 和 步 又 2 的 结果 再 与 轮 常数 Reoz[i 相 异 或 。 

轮 常 数 Reon[ 详 是 一 个 字 ,这 个 字 的 最 右边 三 个 字 节 总 是 0。 因 此 与 轮 常 数 的 一 个 字 蜡 
或 ,其 结果 是 与 该 字 最 左边 的 那个 字 节 相 异 或 。 每 轮 的 轮 常数 均 不 同 , 其 定义 为 Rcon[ 站 = 
(RC[ 门 ,{00},{00},{00)), 其 中 RC[1j]=={01}) ,RC[ 让 =={02}。 (RC[i 一 1j) ,用 多 项 式 表 示 
为 RC[i]==zx。 (RC[i 一 1]))=zi 7! ,i 宇 2。 

字 节 用 十 六 进 制 表 示 , 同 时 理解 为 GF(2s) 上 的 元 素 。x :为 GF(28) 中 的 多 项 式 z 的 
i 一 1 次 方 所 对 应 的 字 节 。 考 虑 到 x 对 应 的 字 节 为 {02) , 轮 常数 也 可 以 写 为 

Rcon[i] = ((02)™!, {00},{00},{00}) 

前 10 个 轮 常数 RC[ 书 的 值 如 表 3.4 所 示 , 对 应 的 Rcon[ 让 如 表 3. 5 所 示 。 


表 3.4 RC[i 


表 3.5 Recon[i] 


i 1 2 a 4 5 
Rcon[i] 01000000 02000000 04000000 08000000 10000000 

i 6 党 8 9 10 
Rcon[i] 2000000 40000000 80000000 1B000000 36000000 
例 3.10 试 对 AES 的 加 密 密 钥 为 2B 7E 15 16 28 AE D2 A6 AB F7 15 88 09 CF 


4F3C, Nk 二 4, 写 出 扩 


展 后 前 三 个 子 密 钥 。 


直接 得 到 第 一 个 子 密 钥 的 4 个 字 为 ww[0] 王 2B7E1516,w[1] 王 28AED2A6,zw[2] 一 
ABF71588,w[L3] 二 09CF43C。 第 二 和 三 个 子 密 钥 扩展 如 表 3. 6 所 示 。 
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表 3.6 密 钥 扩展 例子 


. 与 Reon w[i]=w[Li—1] 
i w[i 一 1] |RotwWord() 后 |SubWord() 后 | Reon[i/NKk] 异 或 后 w[i—NKk] 四 w[i—NA] 
4 09CF4F3C CF4F3C09 8A84EB01 01000000 8B84EB0O1 2B7E1516 AOFAFE17 

5 AOFAFE17 28AED2A6 | 88542CB1 

6 88542CB1 ABF71588 23A33939 
23A33939 09CF4F3C 2A6C7605 

8 2A6C7605 6C76052A 50386BE5 02000000 52386BE5 AOFAFE17 | F2C29512 

9 F2C29512 88542CB1 7A96B943 

10 | 7A96B943 23A33939 5935807A 

11 | 5935807A 2A6C7605 7359F67F 


3.6.8 AES 解密 算法 


AES 解密 算法 是 AES 加 密 算法 的 逆 变 换 , 其 结构 类 似 加 密 算法 。 解 密 算法 和 加 密 算 
法 轮 结 构 的 顺序 不 同 。 但 是 加 密 和 解密 算法 中 的 密 钥 编排 形式 相同 。 在 加 密 过 程 中 ,其 轮 
结构 是 字 节 代 换 、 行 移 位 、 列 混淆 和 轮 密 钥 加 。 在 解密 过 程 中 ,其 轮 结构 是 逆向 行 移 位 、 逆 向 
字 节 代 换 、 轮 密 钥 加 和 逆向 列 混淆 。 图 3. 28 描述 了 解密 算法 的 伪 代 码 。 

1. 逆向 行 移 位 

逆向 行 移 位 (InvShiftRows()) 是 行 移 位 (ShiftRows() ) 的 道 变换 。 对 State 的 各 行 按照 
一 定量 的 循环 移 位 。 当 Nb 二 4 或 者 6 时 ,第 0 行 不 移 位 ; 第 1 行 循环 右 移 1 位; 第 2 行 循 
环 右 移 2 位 ; 第 3 行 循环 右 移 3 位 。 


TInvCipher( byte in[4 * Nb]j,byte out[4* Nbj,.word w[LNb* (Nr 十 1)]) 
begin 

byte state[ 4, Nb] 

state 一 in 

AddRoundKey(state, w[ Nr* Nb,(Nr 十 1) * Nb 一 1]) 


for round 王 Nr 一 1 step 一 1 downto 1 
InvShiftRows(Cstate) 
InvSubBytes( state) 
AddRoundKey(state, w[ round * Nb,(round 十 1) * Nb 一 1]) 
InvMixColumns( state) 
end for 


InvShiftRows( state) 
InvSubBytes( state) 
AddRoundKey(Cstate,w[0.Nb 一 1]) 


out 一 state 
end 


图 3.28 AES 解密 算法 的 伪 代 码 


2. 逆向 字 节 代 换 
道 向 字 节 代 换 (InvSubBytesQ 〇 ) 是 字 节 代 换 (SubBytes()) 的 道 变 换 , 对 State 的 每 个 字 
节 应 用 逆 S 盒 进行 代 换 。 逆 字 节 替代 变换 中 使 用 的 逆 S 盒 如 图 3. 29 所 示 。 


1 


mimigololwi>leolols|lolalalwlv|i-|io 
© 
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BA|77 |D6 |26 |El|69 


3. 轮 密 钥 加 


轮 密 钥 加 变换 ,其 逆 变 换 就 是 它 本 身 , 因 为 其 中 只 应 用 了 


4. 逆向 列 混淆 


图 3.29 逆 S 盒 


逆向 列 混淆 (InvMixColumns()) 是 列 混淆 (MixColumns()) 的 道 变换 。 道 向 列 混淆 在 
State 上 对 每 一 列 进行 运算 ,将 State 的 列 看 做 GF(2*) 上 的 多 项 式 且 被 一 个 固定 的 多 项 式 


a-1(x) 模 x 十 1 乘 ,a-! 


(ZX) 为 


ali(zx) = {00}zs 十 {0d)zz 十 {09 


可 以 写成 矩阵 乘法 。 令 s(x)==a 1Cz)COsCz) : 
sowe 0¢ 0b 0d 091Fso. 
Se 09 0e 00 0d || se 
sie| lod 09 oe 06 ||s,.. 
ee 00 0d 09 0ejLss. 


} 六 十 {0e)》 


0 和 c=No 


经 过 该 乘法 计算 后 ,一列 中 的 4 个 字 节 将 由 下 述 结果 取代 : 


so = ({0e} 。soe) DB {06} 5 DB {0d} » 57.) D ({09}» 
5 一 ({09} » $0,.) 四 ({0e} » 51.) DB {06} » 52..) DB ({0d} 。 
s2,c= ({0d} » $s0,c) BD ({09} » s1,c) DB {0e} » 5s2..) DB ({00}» 
sc = ({06} » s0..) BD ({0d} sc) DB ({09} sz DB ({0e}. 


3.6.9 等 价 的 解密 变换 


在 上 一 节 描 述 的 解密 算法 中 ,其 各 个 变换 的 操作 顺序 与 加 密 算法 不 同 , 但 是 加 密 和 解密 
算法 中 的 密 钥 编排 形式 相同 。 其 缺点 是 在 于 对 同时 要 求 加密 和 解密 的 应 用 而 言 ,需要 两 个 
不 同 的 软件 或 者 固件 模块 。 因 此 ,需要 构造 一 个 等 价 的 解密 算法 ,解密 时 各 个 变换 的 操作 顺序 
与 加 密 ( 由 逆向 变换 取代 原来 的 变换 ) 相 同 。 为 了 达到 这 个 要 求 ,需要 对 密 钥 扩展 进行 改进 。 


S8ie) 
Sac) 
Sa,c) 


SR 


72 信息 安全 原理 与 技术 


通过 两 处 改进 可 以 使 解密 算法 结构 和 加 密 算 法 结构 一 致 。 前 面 已 经 提 到 ,加 密 算 法 和 
解密 算法 的 轮 结构 顺序 不 同 , 如 果 将 解密 轮 中 的 前 两 个 变换 阶段 交换 ,后 两 个 变换 阶段 也 交 
换 就 能 保证 解密 算法 结构 和 加 密 算法 结构 相同 。 

1. 交换 逆向 字 节 代 换 和 逆向 字 节 代 换 

字 节 代 换 和 行 移 位 的 顺序 不 影响 结果 。 先 进行 行 字 节 代 换 , 再 进行 行 移 位 等 价 于 先进 
行 行 移 位 ,再 进行 字 节 代 换 。 对 于 逆向 字 节 代 换 和 逆向 字 节 代 换 同样 成 立 , 因 此 可 以 将 这 两 
个 操作 交换 。 

2. 交换 轮 密 钥 加 和 逆向 列 混淆 

轮 密 钥 加 和 逆向 列 混淆 并 不 改变 State 中 的 字 节 顺序 。 如 果 将 密 钥 看 成 是 字 的 序列 ， 
那么 轮 密 钥 加 和 逆向 列 混淆 每 次 都 是 对 State 的 一 列 进行 操作 。 列 混淆 (MixColumns()) 
和 逆向 列 混淆 (InvMixColumns()) 运 算是 关于 列 输入 的 线性 变换 ,那么 

InvMixColumns(State Round Key) 一 
InvMixColumns(State)® InvMixColumns(Round Key) 

这 表明 密 钥 加 和 逆向 列 混淆 可 以 互 换 , 只 要 将 解密 中 密 钥 编排 得 到 的 密 钥 列 ( 字 ) 应 用 
InvMixColumns() 变 换 进行 修改 即 可 。 

等 价 的 解密 算法 如 图 3. 30 所 示 。 算 法 将 InvSubBytes() 变 换 和 InvShiftRows() 变 换 
的 顺序 反 转 过 来 ,同时 当 利 用 InvMixColumns() 变 换 时 ,修改 了 1 到 Nr 一 1 轮 的 解密 密 钥 
编排 结果 后 ,并 将 * 轮 循环 ”中 使 用 的 AddRoundKey() 变换 和 InvMixColumns() 变 换 的 顺 
序 反 转 。 解 密 密 钥 编排 结果 的 第 一 和 最 后 Nb 字 将 不 使 用 该 方式 进行 修改 。 字 数组 dw[ ] 
中 包含 了 修改 过 的 解密 密 钥 编排 结果 。 图 3. 30 中 也 给 出 了 对 密 钥 扩展 程序 的 修改 。 


EqInvCipher(byte inL4 * Nb]j,byte out[4 * Nbj,word dw[ Nb* (Nr 十 1)]) 
begin 

byte state[ 4, Nb] 

state=in 

AddRoundKey(state, dw[ Nr * Nb,(Nr+1) * Nb—1]) 


for round 一 Nr 一 1 step 一 1 downto 1 

InvSubBytes( state) 

InvShiftRows( state) 

InvMixColumns( state) 

AddRoundKey(state, dw[ round * Nb,(Cround 十 1) * Nb 一 1]) 
end for 


InvSubBytes( state) 
InvShiftRows( state) 
AddRoundKey(state,dw[0,Nb 一 1]) 
out= state 
end 
下 面 的 伪 代 码 加 在 密 钥 扩 展 算法 后 面 
for i=0 step 1 to (Nr 十 1) * Nb 一 1 
dw[ 订 一 w[ 果 
end for 
for round 王 1 step 1 to Nr 一 1 
InvMixColumns(dw[ round * Nb,(round 十 1) * Nb 一 1]) 
end for 


图 3.30 AES 等 价 解密 算法 
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3.6.10 AES 的 安全 性 


AES 的 设计 的 各 个 方面 都 使 它 具 有 能 够 抵抗 所 有 已 知 攻击 的 能 力 。AES 的 轮 函 数 设 
计 是 基于 宽 轨 迹 策略 (Wide Trail Strategy) ,这 种 设计 策略 是 针对 差分 密码 分 析 和 线性 密码 
分 析 制 定 的 ,主要 包括 两 个 设计 准则 ,其 一 是 选择 差分 均匀 性 比较 小 和 非 线 性 度 比 较 高 的 S 
盒 ; 其 二 是 适当 选择 线性 变换 ,使 得 固定 轮 数 中 的 活动 S 盒 的 个 数 尽 可 能 多 。 如 果 差 分 特 
征 ( 或 线性 双 近 ) 中 某 一 轮 的 活动 S 盒 的 个 数 比较 少 ,那么 下 一 轮 中 的 活动 S 盒 的 个 数 就 必 
须要 多 一 些 。 宽 轨迹 策略 的 最 大 优点 是 可 以 估计 算法 的 最 大 差分 特征 概率 和 最 大 线性 逼近 
概率 ,由 此 可 以 评估 算法 抵抗 差分 密码 分 析 和 线性 密码 分 析 的 能 力 。 另 外 AES 的 密 钥 长 度 
也 足以 抵抗 穷 举 密 钥 攻击 。 并 且 AES 算法 对 密 钥 的 选择 没有 任何 限制 ,还 没有 发 现 弱 密 钥 
和 半 弱 密 的 存在 。 


3.7 RC6 


RC6 是 RSA 公司 提交 给 NIST 的 一 个 候选 高 级 加 密 标 准 算 法 , 它 是 在 RC5 的 基础 上 
设计 的 。RC6 继承 了 RC5 的 优点 。 为 了 使 它 符合 高 级 加 密 标 准 ,RC6 在 RC5 基础 上 将 分 
组 长 度 扩展 成 128 位 ,用 4 个 32 位 区 块 代替 RC5 的 两 个 32 位 区 块 。RC6 是 参数 可 变 的 分 
组 密码 算法 ,三 个 可 变 的 参数 是 : 分 组 大 小 、 密 钥 大 小 和 加 密 轮 数 。RC6 常常 写 为 RC6-w/ 
r/5b, 其 中 w 是 字 的 大 小 ,以 位 为 单位 ,r 为 加 密 轮 数 ,允许 值 是 0,…,255,0 为 密 钥 长 度 , 单 
位 是 字 节 ,0 委 6 委 255。 例 如 RC6-32/16/10 表示 字 长 为 32 位 ,迭代 的 轮 数 是 16 , 密 钥 长 度 
为 10 字 节 。 由 于 高 级 加 密 标准 的 要 求 是 w==32,r= 二 20, 因 此 满足 AES 的 RC6 算法 是 RC6- 
32/20/16 ,也 就 是 4 个 32 位 字 (128 位 ) ,迭代 的 轮 数 为 20, 密 钥 长 度 16 个 字 节 。RC6 定义 
了 6 种 运算 基本 操作 ,以 2 为 底 的 对 数 表 示 为 lg z。 

a 十 b: 模 2* 整数 加 。 

a 一 b: 模 2* 整数 减 。 

a 四 0b: ww 位 的 字 按 位 异 或 。 

wx: 模 2* 整数 乘 。 

a 二 <<6b: 循环 左 移 w 位 的 字 au ,移动 位 数 由 4 的 低位 lg w 位 决定 。 

a 二 >>0: 循环 右 移 w 位 的 字 a。 


3.7.1 RC6 的 加 密 和 解密 


RC6 和 RC5 在 加 解密 方面 是 不 一 样 的 ,RC6 用 这 4 个 z 位 寄存 器 A、.B、C、D 来 存放 
输入 的 明文 和 输出 的 密 文 。 明 文 和 密 文 第 一 个 字 节 放 在 A 的 最 低 字 节 ( 即 第 一 个 字 节 )， 
明文 和 密 文 的 最 后 一 个 字 节 放 在 D 的 最 高 字 节 ( 即 最 后 一 个 字 节 )。RC6 的 加 密 过 程 如 
图 3. 31 所 示 , 其 中 f(x) 二 +X (2x 十 1)。 加 密 算法 和 解密 算法 分 别 如 图 3. 32 和 图 3. 33 
所 示 。 
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3.31 RC6 加 密 过 程 


RC6-w/r/b 加 密 
输入 : 明文 存 人 4 个 w-bit 寄存 器 A,B,C,D 
轮 数 
w-bit 轮 密 钥 SL0.1,…,2r 十 3] 
输出 : 密 文 存 人 4 个 w-bit 寄存 器 A,B,C,D 
过 程 : B 王 B 十 S[0] 
D=D+S[1] 
for i=1 tor do 
{ 
t=(BX (2B+1))<—<<lgw 
u=(DX (2D+1))<<lgw 
A=((AB) <<w)+s[2i] 
C=((CBu) < +S[L2i+1] 
(A,B,C,D)=(B,C,D,A) 


\ 
上 


A=A 十 S[2r 十 2] 
C=C+S[2r+3] 


图 3.32 RC6 加 密 算法 


3.7.2 密 钥 扩展 


密 钥 扩展 算法 是 从 密 钥 K 中 导出 2r 十 4 个 字 长 的 密 钥 ,储存 在 数组 SL0,… 


, 27 十 3] 中 


用 于 加 密 和 解密 。 在 这 其 中 用 到 了 两 个 常量 Pw 和 Qw ,Pw 和 Qw 大 小 是 一 个 字 长 ,定义 


如 下 : 
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RC6-zo/r/ 人 解密 
输入 : 密 文 存 人 4 个 w-bit 寄存 器 A,B,C,D 
轮 数 r 
ww-bit 轮 密 钥 SL[0,1,…,2r 十 3] 
输出 : 明文 存 人 4 个 w-bit 寄存 器 A,B,C,D 
过 程 : C=C 一 S[2r 十 3] 
A=A—S[2r 十 2] 
for i=r downto 1 do 
{ 
CAB COD)=CD A BO) 
zx 一 (DX(2D 十 1))<<< 和 lgw 
1 一 (BX(2B 十 1))<<<lgw 
C=((C 一 S[2i 十 1]) >>>)@u 
A=((A—S[2i]) >>>wW@r 
} 
D=D 一 S[1] 
了 B 王 了 B 一 S[0] 


3.33 ”RC6 解密 算法 


Pzw 一 Odd((e 一 2)2”) 
Qw= Odd((g—2)2") 
其 中 ,e 二 2.7182818284…( 自 然 对 数 ) ,p 王 1. 61803398874…( 黄 金 分 割 ),Odd(x) 是 离 x 最 
近 的 奇数 。 
密 钥 扩展 时 ,首先 将 密 钥 KL0,… ,5 一 1] 放 入 cc 个 ww 位 字 的 另 一 个 数组 L[0,…,c 一 1] 
中 ,其 中 c 为 6/u 的 整数 部 分 ,二 w/8, 即 工 数 组 上 的 元 素 大 小 为 uw 位 。 将 个 连续 字 节 
的 密 钥 顺序 放 和 人 工 中 , 先 放 入 工 中 的 低 字 节 ,再 放 和 人 其 高 字 节 。 如 果 世 未 填 满 ,用 0 填充 。 
当 65=0,c=0 时 ,c=1,L[0j]=0。 
其 次 利用 Pw 和 Qew 将 数组 S 初始 化 为 一 个 固定 的 伪 随 机 的 数组 ,最 后 将 用 户 密 钥 扩 
展 到 数组 S 中 , 密 钥 扩 展 算法 如 图 3. 34 所 示 。 


RC6-w/r/b 密 钥 扩展 
输入 : 用 户 密 钥 字 节 预 放 人 数组 L[0,…,c 一 1] 
轮 数 - 
输出 : w 位 的 轮 密 钥 SL0,… ,2r 十 3] 
过 程 : 
S[0]=Pw 
for ;一 1 to 2r 十 3 do 
S[ 菩 二 SLi 十 1] 十 Q 
A 一 B 一 ;一 /一 0 
ua 一 3Xmax{c,2r 十 4)} 
for s=1 tov do 
{ 
A=S[]=(S[] 十 A+B)<<<3 
B=L[j]=(L[jJ]+A+B)<<<(A+B) 
i 一 (十 1) mod (2r+4) 
7 一 (G 十 1) mod c 


图 3.34 RC6 密 钥 扩展 算法 
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3.7.3 ”RC56 的 安全 性 和 灵活 性 


RC6 是 对 RC5 的 发 展 ,加 入 了 二 次 函数 f(z) 二 xX (2zx 十 1) ,这 个 函数 提高 了 函数 密码 
扩散 速度 。 用 二 次 函数 变换 的 寄存 器 B 和 DD 的 值 来 修改 寄存 器 A 和 C 的 值 ,增加 了 密码 
的 非 线性 。 因 此 RC6 有 很 好 的 抗 差分 攻击 和 线性 攻击 的 能 力 。 另 外 RC6 的 加 密 和 人 解密 的 
时 间 都 与 数据 无 关 , 可 以 有 效 地 避免 计时 攻击 。 同 时 ,也 没有 RC6 存在 类 似 DES 中 的 弱 
密 钥 。 

与 其 他 加 密 算 法 不 同 的 是 ,RC6 算法 在 加 密 过 程 中 不 需要 查找 表 , 加 之 算法 中 的 乘法 
运算 也 可 以 用 平方 代替 ,所 以 该 算法 对 内 存 的 要 求 很 低 。 这 使 得 RC6 特别 适合 在 单片机 上 
实现 。 


3.8 流 密 码 


3.8.1 流 密码 基本 原理 


一 次 一 密 密 码 是 绝对 安全 的 密码 ,如 果 能 以 某 种 方式 仿效 一 次 一 密 密 码 ,将 可 以 得 到 安 
全 性 很 高 的 密码 。 长 期 以 来 ,人 们 试图 以 流 密码 方式 仿效 一 次 一 密 密 码 , 从 而 促进 了 流 密码 
的 研究 和 发 展 。 目 前 ,序列 密码 的 理论 已 经 比较 成 熟 , 而 且 流 密码 实现 简单 ,加 密 速度 快 , 密 
文 传输 中 的 错误 不 会 在 明文 中 产生 扩散 ,使 得 流 密码 成 为 许多 重要 领域 应 用 的 主流 密码 
体制 。 

流 密码 也 称 为 序列 密码 , 它 是 对 明文 以 一 位 或 者 一 个 字 节 为 单位 进行 操作 。 为 了 使 加 
密 算法 更 安全 ,一般 选 取 尽 可 能 长 的 密 钥 ,但 是 长 密 钥 的 存储 和 分 配 都 很 困难 。 于 是 流 密码 
采用 一 个 短 的 种 子 密 钥 来 控制 密 钥 流 发 生 器 产生 出 长 的 密 钥 序列 , 供 加 解密 使 用 ,而 短 的 种 
子 密 钥 的 存储 、 分 配 都 较 容易 。 图 3. 35 是 流 密 码 的 加 密 过 程 。 种 子 密 钥 上 输入 到 密 钥 流 发 
生 器 ,产生 一 系列 密码 流 ,通过 与 同一 时 刻 的 一 个 字 节 或 者 一 位 明文 流 进行 异 或 操作 产生 密 
文 流 。 解 密 时 只 要 将 密 文 流 与 密 钥 流 异 或 操作 产生 明文 流 。 例 如 ,如 果 密 钥 流 发 生 器 产生 
的 密 钥 流 一 个 字 节 为 10011001 ,明文 流 一 个 字 节 为 01001010, 那 么 密 钥 流 与 明文 流 异 或 可 
以 产生 的 密 钥 流 11010011。 同 样 ,将 密 文 流 与 密 钥 流 异 或 就 能 得 到 明文 流 。 

在 流 密码 中 ,如 果 密 钥 流 的 产生 完全 独立 于 明文 流 或 密 文 流 , 则 称 该 流 密码 为 同步 流 密 
码 (Synchronous Stream Cipher) ,如 图 3. 36 所 示 。 如 果 密 钥 流 的 产生 与 明文 或 者 密 文 相 
关 , 我 们 称 这 类 流 密码 为 自 同 步 流 密码 (Self-Synchronous Stream Cipher) ,如 图 3. 37 所 示 。 


种 子 密 钥 一 安全 通道 分 配种 子 密 钥 一 


密 钥 流 发 生 


明文 流 m, 密 文 流 c ”传输 通道 
图 3.35 流 密码 加 密 过 程 图 3.36 同步 流 密码 
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密 钥 流 发 生 器 | 
J. 
mi Ci Ci 
十 


发 送 广 传输 通道 
3.37 自 同步 流 密码 


对 于 同步 流 密码 ,只 要 通信 双方 的 密 钥 流 产生 器 具有 相同 的 种 子 密 钥 和 相同 的 初始 状 
态 , 就 能 产生 相同 的 密 钥 流 。 在 保密 通信 过 程 中 ,通信 的 双方 必须 保持 精确 的 同步 , 收 方才 
能 正确 解密 ,如 果 失 步 收 方 将 不 能 正确 解密 。 例 如 ,如 果 通 信 中 丢失 或 增加 了 一 个 密 文字 
符 , 则 收 方 将 一 直 错 误 ,直到 重新 同步 为 止 ,这 是 同步 流 密码 的 一 个 主要 缺点 。 但 是 同步 流 
密码 对 失 步 的 敏感 性 ,使 我 们 能 够 容易 检测 插入 \ 删 除 .重播 等 主动 攻击 。 由 于 同步 流 密码 
各 操作 位 之 间 相 互 独立 ,因此 应 用 这 种 方式 进行 加 解密 时 无 错误 传播 , 当 操作 过 程 中 产生 一 
位 错误 时 只 影响 一 位 ,不 影响 后 续 位 ,这 是 同步 流 密码 的 一 个 优点 。 

对 于 自 同步 流 密码 ,每 一 个 密 钥 位 是 由 前 面 个 密 文 位 参与 运算 推导 出 来 的 ,其 中 为 
定 值 。 因 此 ,如 果 在 传输 过 程 中 丢失 或 更 改 了 一 个 位 , 则 这 一 错误 就 要 向 前 传播 个 位 。 因 
此 , 自 同步 流 密码 有 错误 传播 现象 。 不 过 ,在 收 到 n 个 正确 的 密 文 位 以 后 ,密码 自身 会 实现 
重新 同步 。 在 自 同步 流 密码 系统 中 , 密 文 流 参 与 了 密 钥 流 的 生成 ,这 使 得 对 密 钥 流 的 分 析 非 
常 复杂 ,从 而 导致 对 自 同步 流 密 码 进行 系统 的 理论 分 析 非 常 困 难 。 


3.8.2 密 钥 流产 生 器 


流 密码 的 安全 强度 完全 取决 于 它 所 产生 的 密 钥 流 的 特性 ,如 果 密 钥 流 是 无 限 长 且 为 无 
周期 的 随机 序列 ,那么 流 密码 属于 “一 次 一 密 ” 的 密码 体制 ,但 遗憾 的 是 满足 这 样 条 件 的 随机 
序列 在 现实 中 无 法 生成 。 实 际 应 用 当中 的 密 钥 流 都 是 由 有 限 存储 和 有 限 复杂 逻辑 的 电路 产 
生 的 字符 序列 ,由 于 密 钥 流 生成 器 只 具有 有 限 状 态 ,那么 它 产生 的 序列 具有 周期 性 ,不 是 真 
正 的 随机 序列 。 现 实 设计 中 只 能 追求 密 钥 流 的 周期 尽 可 能 的 长 ,随机 性 尽 可 能 的 好 ,近似 于 
真正 的 随机 序列 。 一 个 好 的 密 钥 流 需 要 考虑 下 面 几 个 要 素 。 

(1) 加 密 序 列 的 周期 要 长 。 密 钥 流 生成 器 产生 的 比特 流 最 终 会 出 现 重 复 。 重 复 的 周期 
越 长 ,密码 分 析 的 难度 越 大 。 

(2) 密 钥 流 应 该 尽 可 能 地 接近 一 个 真正 的 随机 数 流 的 特征 。 如 1 和 0 的 个 数 应 近似 相 
等 。 如 果 密 钥 流 为 字 节 流 , 则 所 有 的 256 种 可 能 的 字 节 的 值 出 现 频率 应 近似 相等 。 

(3) 为 了 防止 穷 举 攻 击 ,种 子 密 钥 值 也 应 该 有 足够 的 长 度 ,至 少 要 保证 它 的 长 度 不 小 于 
128 位 。 

生成 一 个 具有 和 良好 特性 的 密 钥 流 序 列 的 常见 方法 有 : 线性 反馈 移 位 寄存 器 (Linear 
Feedback Shift Register,LFSR) , 非 线 性 移 位 寄存 器 (NLFSR)、 有 限 自动 机 ,线性 同 余 以 及 
混沌 密码 序列 等 方法 。 这 些 方法 都 是 通过 一 个 种 子 ( 有 限 长 ) 密 码 产 生 具 有 足够 长 周期 的 、 
随机 性 良好 的 序列 。 只 要 生成 方法 和 种 子 都 相同 ,就 会 产生 完全 相同 的 密 钥 流 。 目 前 密 钥 
流 生 成 器 大 都 是 基于 移 位 寄存 器 。 因 为 移 位 寄存 器 结构 简单 .易于 实现 且 运 行 速度 快 。 本 
节 主 要 介绍 线性 移 位 寄存 器 方法 。 
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密 钥 流产 生 器 一 般 由 线性 移 位 寄存 器 (LFSR) 和 一 个 非 线性 组 合 函 数 两 部 分 构成 。 其 
中 线性 移 位 寄存 器 部 分 称 为 驱动 部 分 , 男 一 部 分 称 为 非 线 性 组 合 部 分 ,如 图 3. 38 所 示 。 其 
工作 原理 是 将 驱动 部 分 , 即 线性 移 位 寄存 器 在 j 时 刻 的 状态 变量 x 作为 一 组 值 输 入 非 线性 
组 合 部 分 的 了 ,将 f(z) 作 为 当前 时 刻 的 密 钥 k;。 驱 动 部 分 负责 提供 非 线 性 组 合 部 分 使 用 的 
周期 大 统计 性 能 好 的 序列 ,而 非 线 性 组 合 部 分 以 各 时 刻 移 位 寄存 器 的 状态 组 合 出 密 钥 
序列 。 

移 位 寄存 器 是 流 密码 产生 器 的 主要 部 分 ,图 3. 39 是 一 个 域 GF(2) 上 的 反馈 移 位 寄存 
器 ,图 中 标 有 a,as，…,a,-1,a, 的 小 方 框 表示 二 值 (0,1) 存 储 单元 ,可 以 是 一 个 双 稳 触发 
器 ,信号 流 从 左 向 右 。 这 宛 个 二 值 存 储 单元 称 为 该 反馈 移 位 寄存 器 的 级 。 在 任 一 时 刻 , 这 些 
级 的 内 容 构成 该 反馈 移 位 寄存 器 的 状态 。 每 一 个 状态 对 应 于 GF(2) 上 的 一 个 维 向 量 , 共 
有 2" 种 可 能 的 状态 。 每 个 时 刻 的 状态 可 用 nn 长 序列 ai,as,… ,a 或 n 维 向 量 a1,as，*… ,a 
表示 ,其 中 ai 为 当前 时 刻 第 i 级 存储 器 中 的 内 容 。 


输出 序列 
or lanl | | a 输出 序列 
移 位 奇 存 器 | | 非 线性 组 存 |， 密级 流 4 
(LFSR) | i 函数 / ano 
3.38 ” 密 钥 流产 生 器 3.39 反馈 移 位 寄存 器 


在 主 时 钟 确定 的 周期 区 间 上 ,每 一 级 存储 器 a; 都 将 其 内 容 向 下 一 级 a;_| 传 递 , 并 根据 
寄存 器 当时 的 状态 计算 f(ai,as，…,a,) 作 为 a, 的 下 一 时 间 周 期 的 内 容 , 其 中 反馈 函数 
f(arsas，…* ,ay) 是 nn 元 布尔 函数 。 所 以 在 时 钟 的 每 一 脉冲 下 ,总 是 从 一 个 状态 转移 到 男 一 

有 反馈 函数 Fai ,az sya) 二 cal 鲜 04i1Q1 转 … 田 0-ian，, 其 中 ,ci 为 0 或 者 1, 旬 是 模 
2 加 法 。 这 个 反馈 函数 是 wa ,as,… ,a 的 线性 函数 。 称 这 种 反馈 移 位 寄存 器 为 线性 移 位 寄 
存 器 (LFSR) ,否则 称 为 非 线 性 移 位 寄存 器 。 

如 果 反 馈 移 位 寄存 器 的 状态 为 

i = (adisy sane 1) 
则 aps 三 faivaiti… aitn-1) ,这 个 ait+, 又 是 移 位 寄存 器 的 输入 。 在 w+ 的 驱动 下 , 移 位 寄 
存 器 的 各 个 数据 向 前 推移 一 位 ,使 状态 变 为 s;41 二 (air1,… ,ait,) ,同时 ,整个 移 位 寄存 器 的 
输出 为 ww。 由 此 可 以 得 到 一 系列 数据 al ,az ,…… .av … 

例 3.11 图 3.40 是 一 个 三 级 移 位 寄存 器 ,初始 输出 
状态 是 二 (a was so) 一 (1,0,1) , 写 出 它 输出 序列 的 人 二 一 


前 5 位。 
从 图 3. 40 中 可 以 发 现 反馈 函数 是 a; 和 as 的 异 


或 ,那么 三 级 移 位 寄存 器 的 输出 如 下 所 示 ， 图 3.40 一 个 三 级 移 位 寄存 器 
状态 (as ,az ,ai) 输 出 状态 (as ,az ,al) 输 出 
101 和 010 0 
010 0 110 0 
101 1 
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3.8.3 RC4 算法 


RC4 是 Ron Rivest 在 1987 年 为 RSA 数据 安全 公司 设计 的 一 种 同步 流 密码 。 分 析 显 
示 该 密码 的 周期 大 于 10" 。 每 输出 一 字 节 的 结果 仅 需要 8 一 16 条 机 器 操作 指令 。RC4 的 
应 用 很 广 , 例 如 它 被 集成 于 Microsoft Windows、Lotus Notes、Apple AOCE 和 Oracle 
Secure SQL 中 ,还 用 于 SSL/TLS、WEP(Wired Equivalent) 等 协议 中 。 

RC4 不 是 基于 移 位 寄存 器 的 流 密码 ,而 是 一 种 基于 非 线 性 数据 表 变 换 的 流 密码 , 它 以 
一 个 足够 大 的 数据 表 为 基础 ,对 表 进 行 非 线 性 变换 ,产生 非 线 性 密 钥 流 序列 。RC4 是 一 个 
可 变 密 钥 长 度 、 面 向 字 节 操作 的 流 密码 ,该 字 节 的 大 小 n 可 以 根据 用 户 需 要 来 定义 ,一 般 应 
用 中 都 取 8 位 。 流 密 钥 的 生成 需要 两 个 处 理 过 程 : 一 个 是 密 钥 调 度 算法 (Key-Scheduling 
Algorithm,KSA) ,用 来 设置 数据 表 S 的 初始 排列 ; 一 个 是 伪 随 机 产生 算法 (Pseudo 
Random-Generation Algorithm,PRGA) ,用 来 选取 随机 元 素 并 修改 S 的 原始 排列 顺序 。 

密 钥 流产 生 过 程 是 用 1 一 256 个 字 节 的 可 变 长 度 的 密 钥 初始 化 一 个 256 个 字 节 的 数据 
表 S,S 的 元 素 记 为 S(i) ,0 二 i 二 255, 大 小 为 一 个 字 节 。 加 密 和 人 解密 用 的 每 一 个 密 钥 K (2) 
是 由 S 中 的 元 素 按照 一 定 的 方式 选 出 一 个 元 素 而 生成 。 每 生成 一 个 K( 让 值 ,S 中 的 元 素 就 
被 重新 置换 一 次 。 

1，KSA 初始 化 S 


初始 化 时 , 先 对 S 进行 填充 , 即 令 S(0) 二 0,S(1) 二 1,S(2) 二 2,…,S(255) 二 255。 用 种 
子 密 钥 填充 一 个 256 个 字 节 的 密 钥 表 KK.K(0),K(1),K(2),…,K(255), 如 果 种 子 密 钥 的 
长 度 小 于 K 的 长 度 , 则 依次 重复 填充 ,直到 将 K 填 满 ,然后 通过 S(i) 和 (i 让) 和 置换 S 中 的 元 
素 , 其 过 程 如 下 。 


for i=0 to 255 do 
S(D)=i; 
T(2)=K(i mod keylen) 
J=0; 
for i=0 to 255 do 
j=(j+S(D)+T(0)) mod 256; 
Swap (S(i) ,SO)); 


其 中 keylen 为 种 子 密 钥 长 度 ,T(i) 是 一 个 临时 数据 表 。 上 面 过程 对 S 操作 仅仅 是 交 
换 , 交 换 后 S 所 包含 的 值 仍然 是 0 一 255 的 元 素 。 

2. 密 钥 流 生成 

数据 表 S 一 旦 完成 初始 化 ,种 子 密 钥 将 不 再 使 用 。 当 KSA 完成 S 的 初始 化 后 ,PRGA 
就 将 接手 工作 , 它 为 密 钥 流 选取 一 个 个 字 节 , 即 从 S 中 选取 随机 元 素 , 并 修改 S 以 便 下 一 次 
选取 。 密 钥 流 的 生成 是 SC0) 一 S(255) ,对 每 个 S(i) ,根据 当前 的 S 值 ,将 S(i) 与 S 中 的 另 
一 个 字 节 置 换 。 当 S(255) 完 成 置换 后 ,操作 继续 重复 从 SC0) 开 始 。 密 钥 流 的 选取 过 程 
如 下 。 


| 
下 
ba 


六 
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1 一 0， j=0; 

while(true) 
1 一 (i 十 1) mod 256; 
jj 一 (十 SCGD) mod 256; 
Swap(SCGD .SC ); 
t=(S(D)+S()) mod 256; 
k=S(1); 


例 3.12 假如 使 用 3 位 (0 一 7) 的 RC4, 其 操作 是 对 8 取 模 (而 不 是 对 256 取 模 )。 数 据 
表 5 只 有 8 个 元 素 。 初 始 化 为 


人 
选取 一 个 密 钥 ,该 密 钥 该 密 钥 是 由 0 一 7 的 数 以 任意 顺序 组 成 的 。 例 如 选取 5.6 和 ?7 作 
为 密 钥 。 该 密 钥 如 下 填 人 密 钥 数据 表 中 。 


5 6 7 5 6 7 5 6 
K 0 1 2 3 4 5 6 
利用 如 下 循环 构造 实际 S 数据 表 。 
j=0% 
for i=0 to7 do 
j=G+S()+K(i)) mod 8; 
Swap(S(D) ,SCJ)); 
该 循环 以 /一 0 和 ;一 0 开始 ,使 用 更 新 公式 后 j 为 
7] 三 (0 十 S(0) 十 K(0)) mod 8 二 (0 十 0 十 5) mod 8 一 5 
因此 ,S 数据 表 的 第 一 个 操作 是 将 S(0) 与 S(5) 互 换 , 互 换 结果 如 下 所 示 。 


1 加 医 :国医 驻 医 ,田力 汪 障 / 
号 二 1 2 3 4 5 6 


i 加 1 后 ,i 的 下 一 个 值 为 
j= 二 (5 十 S(1) 二 K(1)) mod 8 一 (5 十 1 十 6) mod 8 一 4 
即将 S 数据 表 的 SC1) 与 SC4) 互 换 , 互 换 结果 如 下 所 示 。 


5|4|2|3 |0|6 
S 0 1 2 38 4 5 以 7 


当 该 循环 执行 完 后 ,数据 表 S 就 被 随机 化 为 


5 4 0 1 6 3 名 
S 0 1 2 3 4 5 6 
这 样 数据 表 S 就 可 以 用 来 生成 随机 的 密 钥 流 序列 了 。 从 j= 二 0 和 i 二 0 开始 开始 ,RC4 如 下 
计算 第 一 个 密 钥 字 : 
i 二 (i 十 1) mod 8 一 (0 十 1) mod 8 一 1 
J 一 (1 十 SC)) mod 8 一 (0 十 SC(1)) mod 8 一 (0 十 4) mod 8 一 4 
Swap(S(1).,S(4)) 
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交换 后 数据 表 S 变 为 


然后 如 下 计算 + 和: 
t=(S(D)+S()) mod 8=1=(S(1)+S(4)) mod 8 一 (1 十 4) mod 8=5 
k=S(1)=S(6)=6 
第 一 个 密 钥 字 是 6, 其 二 进 制 表示 为 110。 重 复 该 过 程 ,直到 生成 的 二 进 制 位 的 数量 等 于 明 
文 位 的 数量 。 

常见 的 RC4 实现 是 基于 n= 二 8 的 (数字 为 0 一 255) 。 这 种 系统 执行 完 KSA 后 的 数据 表 
S 是 0 一 255 的 一 个 排列 ,共有 256!, 即 22s" 种 可 能 。 这 相当 于 使 用 一 个 1600 位 的 密 钥 ,这 
使 得 穷 举 攻击 变 得 不 可 能 。 在 RC4 中 ,有 一 些 弱 点 可 用 来 破解 该 加 密 法 。 例 如 ,RSA 永 不 
会 生成 某 类 密 钥 ,例如 j) 一 ;十 1 与 S(j)= 二 1。 事 实证 明 , 这 类 密 钥 的 数量 占 到 了 所 有 可 能 密 
钥 数 的 2-”。 当 n==8 时 ,就 是 (2561/2')。 

不 考虑 这 些 , 尽 管 可 以 减少 强力 攻击 需要 查找 的 量 , 但 攻击 还 是 不 可 行 的 。 另 一 种 强力 
攻击 法 是 专门 设计 一 个 高 效 实现 该 算法 的 硬件 ,这 种 硬件 能 加 速 测试 可 能 密 钥 的 过 程 。 这 
种 设备 于 1999 年 由 Kundarewuch、Wilton 和 Hu 设计 出 来 ,他 们 设计 了 一 个 可 编程 逻辑 设 
备 ,在 159 天 内 就 找 出 40 位 RC4 的 密 钥 。 


3.9 分 组 密码 工作 模式 


分 组 密码 算法 是 提供 数据 安全 的 一 个 基本 构件 。 分 组 密码 是 针对 固定 大 小 的 分 组 进行 
加 密 的 ,例如 ,DES 是 对 64 比特 的 明文 分 组 进行 加 密 ,AES 是 对 128 位 分 组 操作 。 但 需要 
保密 传输 的 消息 不 一 定 刚好 是 一 个 分 组 大 小 ,为 了 在 实际 中 应 用 分 组 密码 ,定义 了 5 种 工作 
模式 。 任 何 一 种 对 称 分 组 密码 算法 都 可 以 以 这 些 方式 进行 应 用 。 


3.9.1 电子 密码 本 模式 


电子 密码 本 模式 (Electronic Code Book， PI Ps Py 
ECB) 模 式 是 分 组 密码 的 基本 工作 方式 , 它 将 | | | 
明文 分 割 成 独立 大 小 的 分 组 5, 最 后 一 组 在 必 天 一 ~ 加密 | K 一 一 加 密 | … Kk 一 | 加 密 
要 时 需要 填充 ,一 次 处 理 b 比特 的 明文 ,每 次 | 
使 用 相同 的 密 钥 加 密 , 如 图 3. 41 所 示 。 由 于 CI GC Cy 
任意 5b 比特 的 明文 ,只 有 唯一 的 密 文 与 之 对 A 有 
应 ,就 像 密 码 本 一 样 可 以 查 到 对 应 的 密 文 , 因 | 四 
此 称 为 电子 密码 本 模式 。ECB 对 每 组 进行 加 “大 -= 解密 | kK- 解密 | .… Kk 一 | 解密 
密 , 加 密 后 将 各 组 密 文 合并 成 密 文 消息 。 在 | | | 
图 3. 41 中 ,明文 被 分 割 成 大 小 为 和 位 的 一 串 局 Pp, py 
分 组 , 记 为 Pi,P;,…,Pw ,对 应 的 密 文 为 Cl， (b) 解密 


CovasCNs 图 3.41 电子 密码 本 模式 
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在 ECB 模式 下 ,每 一 个 分 组 依次 独立 加 密 ,产生 独立 的 密 文 组 ,每 一 分 组 的 加 密 结 果 均 
不 受 其 他 分 组 的 影响 ,因此 使 用 此 种 方式 ,可 以 利用 并 行 处 理 来 加 速 加 /解密 运算 ,并且 在 传 
输 时 任 一 分 组 发 生 错误 ,不 会 影响 到 其 他 分 组 ,是 这 一 模式 的 优点 。 但 是 ,相同 的 明文 组 将 
产生 相同 的 密 文 组 ,这 样 就 会 泄露 明文 的 数据 模式 。 在 计算 机 系统 中 ,许多 数据 都 具有 固有 
的 模式 ,这 主要 是 由 数据 结构 和 数据 元 余 引起 的 。 但 如 果 同 一 明文 分 组 在 消息 中 反复 出 现 
产生 的 密 文 分 组 就 会 相同 ,因此 ,用 于 长 消息 时 可 能 不 够 安全 。 如 果 消 息 有 固定 的 结构 , 密 
码 分 析 者 就 有 可 能 会 利用 这 种 规律 。 例 如 ,如 果 已 知 消息 总 是 以 某 个 事先 规定 的 字段 开始 ， 
那么 分 析 者 就 有 可 能 会 得 到 许多 明文 - 密 文 对 。 如 果 消 息 有 重复 的 成 分 ,而 重复 的 周期 是 2 
位 的 倍数 ,那么 这 些 成 分 都 有 可 能 会 被 密码 分 析 者 识别 出 来 。 因 此 ECB 模式 特别 适合 短 数 
据 ( 如 加 密 密 钥 ) 。 


3.9.2 密码 分 组 链接 模式 


为 了 克服 ECB 的 缺陷 ,希望 设计 一 种 方案 使 同一 明文 分 组 重复 出 现时 产生 的 密 文 分 组 
不 同 。 一 种 简单 的 方案 就 是 密码 分 组 链接 (Cipher Block Chaining， Ee 如 图 3. 42 所 


示 。 这 种 模式 和 ECB 模式 一 样 ,也 要 将 明文 iv 六 和 
分 成 4 位 的 一 串 分 组 ,最 后 一 组 不 足 6 位 要 进 有 “下 
行 填充 。 但 是 CBC 将 这 些 分 组 链接 在 一 起 进 | 

行 加 密 操作 ,加 密 输入 是 当前 明文 分 组 和 前 一 [ 加密 ] |x 一 [ 加害] … 一 [ 加密 
一 密 文 分 组 的 异 或 ,它们 形成 一 条 链 , 每 次 加 | | | 
密使 用 相同 的 密 钥 , 每 个 明文 分 组 的 加 密 函 5 G S 
数 输入 与 明文 分 组 之 间 不 再 有 国定 的 关系 ,所 oA 


以 明文 分 组 的 数据 模式 不 会 在 密 文中 暴露 。 
加 密 时 ,最 开始 一 个 分 组 先 和 一 个 初始 
向 量 (Initialization Vector, IV) 进 行 异 或 , 然 
后 再 用 密 钥 加 密 , 每 一 个 分 组 的 加 密 结果 均 
受到 前 面 所 有 分 组 的 影响 ,所 以 即使 在 明 
文中 出 现 多 次 相同 的 明文 ,也 会 产生 不 同 的 
密 文 。 对 每 一 个 分 组 加 密 可 以 表示 为 
Ci 一 Ex(P;®@ Ci1) 
C- 一 IV 
解密 时 ,将 第 一 块 密 文 解 密 结 果 与 IV 异 或 可 恢复 第 一 块 明文 。 其 他 的 每 一 个 密 文 分 
组 解密 后 , 青 与 前 一 个 密 文 分 组 异 或 来 产生 出 明文 分 组 , 即 
Di LC:;] ©® Ci = DiLEkLP:©® Ci C= POC OC n=P, 
由 于 CBC 模式 的 链接 机 制 , 可 以 避免 像 ECB 模式 下 的 那 种 明文 数据 模式 的 泄露 。 并 
且 它 对 加 密 大 于 4 位 的 明文 非常 合适 。CBC 模式 除了 能 够 获得 保密 性 外 ,还 能 用 于 认证 ， 
可 以 识别 攻击 者 在 密 文 传输 中 是 否 做 了 数据 纂 改 , 比 如 分 组 的 重 放 ,插入 和 删除 等 ,但 CBC 
模式 同时 也 会 导致 错误 传播 , 密 文 传输 中 任何 一 组 发 生 错 误 不 仅 会 影响 该 分 组 的 正确 解密 ， 
也 会 影响 其 下 一 分 组 的 正确 解密 。 该 加 密 模式 的 还 有 一 个 缺点 是 不 能 实时 解密 ,也 就 是 说 ， 
必须 等 到 每 个 2 位 都 接受 到 之 后 才能 开始 加 密 ,否则 就 不 能 得 到 正确 的 结果 。 


(b) 解密 
3.42 密码 分 组 链接 模式 
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IV 对 于 收发 双方 都 应 是 已 知 的 。 为 提高 安全 性 ,IV 应 像 密 钥 一 样 被 保护 。 保 护 IV 的 
原因 如 下 : 如 果 攻 击 者 能 欺骗 接收 方 使 用 不 同 的 IV 值 .攻击 者 就 能 够 在 第 一 个 明文 分 组 中 
改变 某 些 选 定 的 比特 ,这 是 因为 

GS EelY © P,) 
P= IV @® Di[LC] 
用 X(CD) 表 示 分 组 0 位 X 的 第 i 位 ,那么 Pi1 (让 = 二 IV(i)@ Di[C1](i), 由 异 或 的 性 质 , 有 
Pi(i)’ = IVG)’ ®@ Di[LCJGi) 
其 中 撤 号 表示 取 反 。 上 式 意 味 着 如 果 攻 击 者 算 改 IV 中 的 某 些 位 , 则 接收 方 收 到 的 P, 中 相 
应 的 位 也 发 生变 化 。 


3.9.3 密码 反馈 模式 


如 果 需 要 将 加 密 的 明文 必须 按照 一 个 字 节 或 者 一 位 进行 处 理 时 ,就 可 以 采用 密码 反馈 
(CCipher Feed Back,CFB) 模 式 或 者 输出 反馈 (Output Feed Back,OFB) 模 式 。 这 两 种 模式 
实际 上 是 将 分 组 密码 转换 为 流 密码 , 流 密 码 不 需要 明文 长 度 是 分 组 长 度 的 整数 倍 , 且 可 以 实 
时 操作 。 比 较 适 合 多 媒体 数据 加 密 , 每 一 个 字 节 (或 者 一 位 ) 加 密 后 可 以 立即 发 送 , 接 送 方 也 
可 以 立即 解密 。 

图 3. 43 是 密码 反馈 模式 ,假设 它 的 输出 是 ; 位,s 位 的 大 小 可 以 是 1 位 、8 位 .64 位 或 者 
其 他 大 小 ,表示 为 CFB-1、CFB-8 和 CFB-64 等 。 因 此 密码 反馈 模式 可 以 将 分 组 密码 转换 成 
流 密码 。 加 密 时 ,用 密 钥 K 加 密 大 小 2 位 移 位 寄存 器 中 的 数据 (其 大 小 是 该 密码 算法 加 密 
的 明文 分 组 长 度 。 如 , 若 使 用 DES 加 密 , 则 大 小 为 64 位 ; 若 使 用 AES 加 密 , 大 小 为 128 
位 )。 移 位 寄存 器 的 初 值 为 某 个 初始 向 量 IV。 加 密 后 输出 的 最 左边 : 位 与 明文 的 Pi(Pi 与 
s 的 大 小 相同 ) 异 或 ,产生 出 第 一 个 密 文 单元 Ci ,并 将 Ci 单元 传输 出 去 。 然 后 将 移 位 寄存 器 
中 的 内 容 左 移 ;位 ,并 将 C, 送 入 移 位 寄存 器 的 最 右边 ; 位。 就 这 样 持续 进行 直到 明文 的 所 
有 单元 都 被 加 密 为 止 。 

解密 时 ,除了 将 收 到 的 密 文 单元 与 加 密 函 数 的 输出 进行 异 或 以 产生 明文 单元 外 ,其 他 与 
加 密 采 用 相同 的 方案 。 注 意 这 里 使 用 的 是 加 密 函 数 而 不 是 解密 函数 。 如 假设 S.(X) 表 示 X 
的 最 左边 * 位 , 则 


Gi = PS(EKIVD 

所 以 Pi=C 四 S, (ECK,IV))。 

下 面 以 DES 为 例 , 使 用 CFB-8 工作 模式 说 明 加 密 过 程 。 

(1) 加 密 : 加 密 函 数 的 输入 是 一 个 64 位 的 移 位 寄存 器 ,产生 初始 向 量 IV。 

(2) 对 移 位 寄存 器 64 位 的 数据 用 密 钥 进行 加 密 ,然后 取 加 密 数 据 最 左边 的 8 位 跟 输入 
的 明文 最 初 的 8 位 进行 异 或 操作 ,得 到 的 值 作 为 8 位 密 文 单元 。 

(3) 这 8 比特 密 文 被 移 至 位 寄存 器 的 最 右 端 ,而 其 他 位 则 向 左 移动 8 位 ,最 左 端 8 比特 丢弃 。 

(4) 继续 加 密 ,与 第 2 段 明 文 输入 异 或 ,如 此 重复 直到 所 有 明文 单元 都 完成 加 密 。 

有 一 点 必须 注意 ,这 里 的 明文 单元 P; 和 密 文 单元 C; 与 电子 密码 本 模式 和 密码 分 组 链 
接 模式 中 的 含义 不 一 样 。 我 们 以 DES 为 例 说 明 这 个 问题 ,DES 中 分 组 长 度 是 64 位 (在 文中 
我 们 用 字母 5 位 表示 )。 在 电子 密码 本 模式 和 密码 分 组 链接 模式 中 ,将 明文 分 割 成 一 个 64 
位 的 分 组 , 即 P; 的 大 小 ,加 密 后 输出 一 个 64 位 的 分 组 , 即 C; 的 大 小 。 在 密码 反馈 模式 中 ， 


84 信息 安全 原理 与 技术 


Cl 
ly 
移 位 寄存 器 移 位 寄存 器 移 位 寄存 器 
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(b) 解密 


图 3.43 密码 反馈 模式 


移 位 寄存 器 的 大 小 是 64 位 ,加 密 后 选取 其 中 的 一 部 分 (大 小 可 以 是 1 位 、8 位 或 者 64 位 )， 
假设 我 们 选取 8 位 ,再 与 相同 大 小 的 明文 单元 P; 异 或 ,输出 相同 大 小 的 密 文 单元 C; ,显然 
这 时 P; 和 C; 的 大 小 是 8 位 ,而 不 是 64 位 。 

显然 密码 反馈 模式 具有 流 密码 的 优点 ,也 拥有 CBC 模式 的 优点 。 但 是 它 也 拥有 CBC 
模式 的 缺点 , 即 也 会 导致 错误 传播 。 明 文 的 一 个 错误 会 影响 所 有 后 面 的 密 文 以 及 在 解密 过 
程 中 的 着。 另外 密码 反馈 模式 会 降低 数据 加 密 速度 。 由 于 无 论 每 次 输出 多 少 位 ,都 需要 事 
先 用 密 钥 K 加 密 一 次 ,再 与 相等 的 明文 位 异 或 ,所 以 即使 一 次 输出 为 1 位 ,也 要 经 过 相同 的 
过 程 , 这 就 降低 了 加 密 速 度 。 如 果 一 次 输出 密 文 单元 与 移 位 寄存 器 相同 的 大 小 ,那么 密码 反 
馈 模式 等 同 于 密码 分 组 链接 模式 。 


3.9.4 输出 反馈 模式 


类 似 于 密码 反馈 模式 ,不同 的 地 方 输出 反馈 模式 (Output Feed Back,OFB) 是 将 加 密 算 
法 的 输出 反馈 到 移 位 寄存 器 ,而 密码 反馈 模式 是 将 密 文 单元 反馈 到 移 位 寄存 器 ,如 图 3. 44 
所 示 。 
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3.44 输出 反馈 模式 


与 CFB 相 比 ,OFB 模式 的 优点 是 传输 过 程 中 的 位 错误 不 会 被 传播 。 但 是 相对 于 其 他 
模式 ,因为 数据 之 间 相 关 性 小 ,这 种 加 密 模 式 是 比较 不 安全 的 。 如 这 种 模式 难于 检测 密 文 是 
否 被 算 改 。 如 果 在 密 文中 某 位 取 反 ,那么 在 恢复 后 的 明文 中 相应 位 也 取 反 。 因 此 攻击 者 有 
可 能 通过 对 数据 部 分 和 校 验 部 分 同时 进行 自 改 ,导致 纠 错 码 无 法 检测 。 所 以 在 应 用 的 时 候 
除非 特别 需要 ,一 般 不 提倡 应 用 OFB 模式 。 


3.9.5 计数 器 模式 


计数 器 (Counter,CTR) 采 用 与 明文 分 组 相同 的 长 度 ,但 加 密 不 同 的 明文 组 ,计数 器 对 应 
的 值 不 同 。 计 数 器 首先 被 初始 化 为 一 个 值 ,然后 随 着 消息 块 的 增加 ,计数 器 的 值 依 次 递增 
1。 计 数 器 加 1 后 与 明文 分 组 异 或 得 到 密 文 分 组 。 解 密 是 使 用 相同 的 计数 器 值 序列 ,用 加 密 
后 的 计数 器 的 值 与 密 文 分 组 异 或 来 恢复 明文 ,如 图 3. 45 所 示 。 

计数 器 模式 比较 适合 对 实时 性 和 速度 要 求 比 较 高 的 场合 , 它 具 有 以 下 的 优点 。 

(1) 处 理 效 率 : 由 于 下 一 块 数据 不 需要 前 一 块 数据 的 运算 结果 ,所 以 CTR 能 够 并 行 加 
密 ( 解 密 )。 这 使 其 吞吐 量 可 以 大 大 提高 。 
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计数 器 计数 器 +1 计数 器 +N-1 
K 一 =| K 一 -| 让 … ”一 =[ 加 密 
站 和 
Gi G Cw 
(a) 加 密 
计数 器 计数 器 +1 计数 器 +N-1 
天 一 一 | 加 密 天 一 一 | 击 … 天 一 一 加 密 
PI P, Py 
(b) 解密 


3.45 计数 器 模式 


(2) 预 处 理 : 基本 加 密 算法 的 执行 不 依赖 明文 或 者 密 文 的 输入 ,因此 可 以 事先 处 理 。 
这 样 可 以 极 大 的 提高 吞吐 量 。 

(3) 随机 访问 : 由 于 对 某 一 密 文 分 组 的 处 理 与 其 他 密 文 分 组 无 关 , 因 此 可 以 随机 地 对 
任 一 个 密 文 分 组 进行 解密 处 理 。 

(4) 简单 性 : 计数 器 模式 只 要 求实 现 加 密 算法 ,而 不 要 求解 密 算法 ,加 密 阶 段 和 解密 阶 
段 都 使 用 相同 的 加 密 算法 。 


3.10 随机 数 的 产生 


随机 数 在 信息 安全 中 起 非常 重要 的 作用 。 在 很 多 场合 需要 用 到 随机 数 ,如 对 称 密码 体 
制 中 密 钥 , 非 对 称 密码 体制 公 钥 以 及 用 于 认证 的 临时 交互 号 等 使 用 了 随机 数 。 安 全 的 随机 
数 应 该 满足 随机 性 和 不 可 预测 性 。 随 机 性 有 如 下 两 个 评价 标准 。 

。 分 布 一 致 性 : 随机 数 分 布 是 一 致 的 , 即 每 个 数 出 现 频率 大 约 相等 。 

。 独立 性 : 数据 序列 中 的 任何 数 不 能 由 其 他 数 导 出 。 

一 般 来 说 ,数据 序列 是 否 满足 均匀 分 布 可 通过 检测 得 出 ,而 是 否 满足 独立 性 则 无 法 检 
测 。 但 却 有 很 多 检测 方法 能 证 明 数 据 序列 不 满足 独立 性 。 如 果 对 数据 序列 进行 足够 多 次 检 
测 后 都 不 能 证 明 不 满足 独立 性 ,就 可 比较 有 把 握 地 相信 该 数据 序列 满足 独立 性 。 对 产生 的 
数据 序列 不 仅 要 求 其 具有 随机 性 而 且 要 求 其 具有 不 可 预测 性 , 即 根据 数据 序列 的 一 部 分 不 
能 推导 出 之 前 的 部 分 序列 ,也 不 能 预测 后 续 序 列 。 

一 般 说 来 ,产生 随机 数 的 方式 有 两 种 : 一 是 通过 一 个 确定 性 的 算法 ,由 数字 电路 或 是 软 
件 实现 ,把 一 个 初 值 扩展 成 一 个 长 的 序列 ; 二 是 选取 真实 世界 的 自然 随机 源 , 比 如 热 噪 声 
等 。 由 前 一 种 方法 产生 的 序列 通常 被 称 为 伪 随 机 序列 ,而 后 者 通常 被 称 为 真 随机 序列 。 
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3.10.1 真 随机 数 发 生 器 


对 于 伪 随 机 序列 来 说 ,因为 使 用 的 是 确定 的 算法 ,有 一 定 的 规律 所 循 , 所 以 只 要 具备 足 
够 的 计算 能 力 ,总 能 进行 是 预测 。 能 和 否 产生 真 正 的 随机 数 ,长 期 以 来 ,这 个 问题 一 直 都 处 于 
激烈 的 争论 之 中 。 但 对 于 工程 应 用 来 说 ,只 要 产生 的 序列 具有 随机 统计 特性 ,并 且 不 可 再 
现 ,就 可 以 被 称 之 为 真 随机 序列 。 设 计 一 个 真 随机 数 发 生 器 包括 两 步 : 首先 是 获取 真 随机 
源 , 然 后 是 利用 真 随机 源 依 照 特定 的 数学 方法 获得 真 随机 数 。 真 随机 源 广泛 存在 于 现实 世 
界 中 ,比如 计算 机 网 络 中 IP 包 到 达 的 时 间 、 随 机 噪音 、. 计 算 机 当前 的 秒 级 时 钟 、. 键 盘 反 应 时 
间 、 热 噪声 、 操 作 系 统 的 进程 信息 、 光 量子 的 偏振 等 。 获 取 方 法 可 以 通过 调用 系统 函数 或 者 
硬件 电路 来 实现 。 利 用 真 随机 源 产生 真 随机 数 的 方法 有 很 多 ,一 种 最 简单 的 方法 是 直接 利 
用 真 随机 源 的 奇偶 特性 来 产生 0 和 1 序列。 为 了 增加 序列 的 随机 性 ,往往 还 对 产生 的 0 和 
1 序列 进行 一 系列 的 变换 ,比如 归 一 化 、 非 线性 映射 . 移 位 和 加 密 等 。 图 3. 46 是 通过 提取 电 
路 中 的 热 噪声 来 产生 随机 数 。 该 方法 将 提取 的 热 噪声 进行 放大 ,输入 到 一 个 比较 器 ,与 固定 
的 参考 电压 进行 比较 ,从 而 确定 输出 0、1 序列 。 图 3. 47 基于 自 激 振荡 器 频率 不 稳定 性 的 真 
随机 数 发 生 器 的 原理 示意 图 。 


Ahwnlw- ti se 
BC LT 
P| 位 流 输出 


T 1 
| on J 高 速 | Ju TL 
| 1 噪声 源 振荡 器 位 流 输出 
| | CK 
L-+-3 时 钟 LT 人 TUTEL 
二 时 钟 
图 3.46 利用 热 噪声 的 随机 数 发 生 器 图 3.47 振荡 采样 随机 数 发 生 器 


3.10.2 伪 随 机 数 发 生 器 


在 理想 情况 下 ,密码 算法 和 协议 中 需要 的 秘密 数 应 该 用 一 个 真 随 机 生成 器 来 产生 。 然 
而 ,在 大 多 数 实际 环境 中 , 真 随机 比特 的 生成 是 一 个 效率 较 低 的 过 程 ,并 且 安 全 地 存储 和 传 
送 一 个 大 随机 数 也 是 不 切实 际 的 。 因 此 .在 信息 安全 中 常常 用 伪 随 机 发 生 器 产生 伪 随 机 数 。 
这 些 随 机 数 尽管 不 是 真正 的 随机 ,但 能 够 经 过 许多 随机 测试 。 

1. 线性 同 余 法 

线性 同 余 (Linear Congruential) 法 是 一 种 广泛 使 用 的 伪 随 机 数 产 生 方 法 。 
列 {X,}) 通 过 下 面 的 式 子 迭代 获得 : 

Xn = (aX, 十 c) modm, n 宇 0 


I 


随机 数 序 


其 中 : 
Xo 称 为 种 子 或 者 初始 值 , 并 且 0 过 Xe 一 mm; 
常数 m 称 为 模 数 mm 二 0; 
常数 a 称 为 乘 子 0 三 a 二 m; 
常数 c 称 为 增 量 0 委 c 一 mm 。 
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当 c==0 时 ,该 算法 称 为 乘 同 余 法 ; 当 c 关 0 时 ,该 算法 称 为 混合 线性 同 余 法 。 
为 了 得 到 [0,1j 区 间 上 分 布 的 随机 数 ,可 以 令 
XX 


m 


其 中 R, 为 满足 要 求 的 随机 数 。 

ayc*72 的 取 值 是 产生 高 质量 的 随机 数 的 关键 。 如 当 a==7,c 二 0,m 二 32, Xo 二 1 时 ,生成 
的 数 为 {1,7,17,23,1,7,…), 该 数列 的 周期 为 4, 而 模 为 32, 结 果 不 满意 。 当 随机 数 周期 达 
到 模 时 , 则 其 周期 称 为 满 周期 ,也 就 是 理论 上 的 最 大 周期 。 所 以 我 们 在 用 同 余 算法 生成 随机 
数 的 时 候 , 要 尽 可 能 地 使 周期 达到 满 周 期 。 合 理 地 选择 a、c、m、X。, 可 以 使 重复 的 周期 充分 
长 。 如 果 满 足下 面条 件 ,随机 数 发 生 器 可 以 达到 满 周期 。 

(1)c 和 m 互 素 。 

(2) 对 m 的 任何 一 个 素 因 子 p ,a 二 1 mod p。 

(3) 如 果 4 是 mx 的 因子 , 则 a 三 1 mod 4。 

对 于 上 面 的 条 件 , 这 些 参数 一 般 取 下 面 的 值 : m= 二 2" ,其 中 工 是 计算 机 中 存放 一 个 整 
数值 的 二 进 制 位 数 ( 称 为 整数 的 尾数 字 长 )。 这 种 方法 有 两 个 优点 : 一 是 m 越 大 ,随机 数 
的 周期 就 可 能 越 大 ; 二 是 算法 上 利用 计算 机 的 整数 溢出 原理 ,可 简化 计算 。 其 他 的 参数 
取 值 为 


Q& 一 4a 十 1 
c=28+1 
其 中 a 和 8B 为 任意 正 整 数 。 
线性 同 余 算 法 的 强度 在 于 如 果 将 乘 子 和 模 数 的 选择 ,按照 上 面 的 方法 选取 产生 的 数列 
和 从 1、2、…、m 一 1 中 随机 选取 的 数列 是 不 可 区 分 的 。 但 是 除了 初 值 ze 的 选取 具有 随机 性 
外 ,算法 本 身 并 不 具有 随机 性 ,因为 ze 选 定 后 ,以 后 的 数 就 被 确定 性 地 产生 了 。 这 个 性 质 可 
用 于 对 该 算法 的 密码 分 析 , 如 果 攻 击 者 知道 正在 使 用 线性 同 余 算 法 并 知道 算法 的 参数 , 则 一 
且 获 得 数列 的 一 个 数 ,就 可 得 到 以 后 的 所 有 数 。 甚 至 攻击 者 如 果 只 知道 正在 使 用 线性 同 余 
算法 以 及 产生 的 数列 中 极 少 一 部 分 ,就 足以 确定 出 算法 的 参数 。 假 定 敌 手 能 确定 ro ,zi ,x 
和 zs ,就 可 通过 以 下 方程 组 : 
Xi = (aXu 十 c) mod m 
X, = (aXl 十 c) mod m 
Xas = (aX。 十 c) modm 


解 出 a,c 和 m。 

改进 的 方法 是 利用 系统 时 钟 修改 随机 数 数列 。 一 种 方法 是 每 当 产 生 N 个 数 后 ,就 利用 
当前 的 时 钟 值 模 mm 后 作为 新 种 子 。 另 一 种 方法 是 直接 将 当前 的 时 钟 值 加 到 每 个 随机 数 上 
青 对 m 取 模 。 

2. 非 线 性 同 余 法 

非 线 性 同 余 (Nonlinear Congruential) 法 的 随机 数 序 列 {X,} 通 过 下 面 的 式 子 迭代 获得 : 

Xn = f(X,) mod m, nn 宕 0 

p> 


m 
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其 中 X,E€2 一 10,1,2,…,m 一 1),f 是 Z, 上 的 一 个 整数 函数 。 如 果 f(x) 二 axr 十 c,; 则 变 为 
线性 同 余 。 在 非 线 性 同 余 法 中 的 f 通常 是 Z, 上 的 一 个 排列 多 项 式 。 

下 面 是 几 种 典型 的 非 线 性 同 余 发 生 器 ,它们 的 区 别 主要 是 f 函数 不 同 。 

(1) 首 同 余 发 生 咒 


Xt (aX‘+b) modm, n 宇 0 


其 中 Xs 是 XX, 关于 模 m 的 乘法 逆 预 元 。 
(2) 二 次 同 余 发 生 器 
X = (aX: 十 6X, 十 c) modm，n 宇 0 
A 


m 
其 中 a,6b,c 为 非 负 整数 , 且 < 天 0。 
(3) BBS 发 生 器 
BBSCBlum Blum Shub) 发 生 器 是 由 Lenore Blum、Manuel Blum 和 Michae Shub 于 
1986 年 共同 提出 的 一 种 随机 数 发 生 器 ,其 递 推 公式 为 
Xni 一 Ximodm，7 志 0 
XX 


m 
其 中 ,m= 二 pg,p 和 g 两 个 大 素数 , 且 p 三 g 三 3(mod 4) ,选择 随机 数 ;与 m 互 素 ,计算 初始 值 
Xo。=s: mod m.。 
BBS 发 生 器 最 大 的 特点 是 可 以 直接 计算 任意 一 个 X, 的 值 : 
X, = 〔(X3 mod DN) modm 
BBS 发 生 器 安全 性 很 好 ,并 且 通 过 了 几乎 所 有 的 理论 检验 ,但 其 运行 速度 较 慢 。 
(4) 寡 同 余 发 生 器 
符 同 余 发 生 器 是 BBS 发 生 器 的 推广 ,其 迭代 公式 为 
Xn = XL: modm, n 宇 0 
Bp 


其 中 4d,m 为 正 整数 。 一 个 重要 的 特殊 情形 是 光 王 pg. 且 p 和 9g 为 两 个 大 素数 。 
(5) 指数 同 余 发 生 器 
指数 同 余 发 生 器 的 迭代 公式 为 
Xn = pS mod ms 区 人 0 
Rs 


m 
其 中 g,m 为 正 整数 。 一 个 重要 的 特殊 情形 是 m 为 一 个 大 素数 。 

3. 混沌 随机 数 发 生 器 

在 混沌 区 的 数据 具有 两 个 显著 的 特性 : 迭代 不 重复 性 和 初 值 敏感 性 。 如 果 选 定 一 个 迭 
代 方 程 和 适当 的 系数 ,方程 将 进行 无 限制 不 循环 地 迭代 。 下 式 是 混合 光学 双 稳 模型 的 迭代 


R, = 


R, = 
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方程 : 
Xi = Asin’ (X, — Xs) 
A 和 Xs 是 方程 的 系数 , 当 A 二 4,Xg 二 2.5 时 方程 处 于 混沌 状态 。 根 据 该 方程 生成 混 
沌 序列 {X;}) ,可 以 获得 不 同 0 和 1 序列 S;。 
a if X; 之 也 A 
0, else 
4. 用 密码 学 的 方法 产生 随机 数 
单 向 函数 可 以 用 于 产生 伪 随 机 数 ,方法 是 首先 选取 随机 种 子 ;, 然 后 再 将 函数 应 用 于 序 
列 s,s 十 1,s 十 2,… ,进而 输出 序列 f(5) ,f(s 十 1) ,f(s 十 2),…。 该 单 向 函数 可 以 是 hash 函 
数 ,如 SHA-1, 或 者 是 对 称 分 组 密码 ,如 DES。 


(1) 循环 加 密 

循环 加 密 是 一 种 非常 简单 的 随机 数 产生 方法 ,如 周期 为 N 的 
图 3. 48 所 示 。 它 用 一 个 种 子 密 钥 循环 加 密 计数 器 ,从 而 计数 器 
产生 一 个 随机 序列 。 计 数 器 的 周期 为 N。 如 要 产生 56 | 
位 的 DES 密 钥 ,可 以 用 一 个 周期 为 2* 的 计数 器 ,每 产生 CH 
一 个 密 钥 , 计 数 器 的 值 增加 1 ,那么 这 种 方法 产生 的 伪 随 
机 序列 是 全 周期 的 ,所 有 的 输出 序列 都 是 由 不 同 的 计数 。 种子 窜 包 | 用 密 
值 而 来 ,所 以 它们 互 不 相同 。 由 于 种 子 密 钥 是 保密 的 ,所 和 
以 由 生成 的 随机 数 不 能 退出 后 续 的 随机 数 。 有 时 为 了 增 ee 
加 强度 ,可 以 用 一 个 全 周期 的 伪 随 机 数 发 生 器 来 代替 简 
单 的 计数 器 。 图 3.48 由 计数 器 生成 伪 随 机 数 


(2) ANSI X9. 17 随机 数 生 成 器 
ANSI X9. 17 是 基于 3DES 随机 数 生 成 标准 ,如 图 3. 49 所 示 。 
大,K2> 


DT; 一 -一 EDE 
=| EDE (—i— Vi 
1 
玉 一 EDE 


3.49 ANSI X9.17 伪 随 机 数 生成 器 


和 


图 中 的 符号 含义 如 下 。 

。 EDE: 表示 用 两 个 密码 加 密 的 三 重 DES, 即 加 密 -解密 -加 密 。 

。，DT;: 第 i 轮 的 初始 日 期 和 时 间 。 

。，Vi: 第 i 轮 的 初始 种 子 值 ,Vi+i 表 示 第 i 轮 产生 的 新 种 子 ,并 作为 i 十 1 轮 的 种 子 。 
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。 R,;: 第 i 轮 的 所 产生 的 伪 随 机 数 。 

。 Ki ,Ks: DES 所 使 用 的 密 钥 。 

ANSI X9. 17 伪 随 机 数 生成 器 采用 的 输入 是 DT 和 V;。DT; 是 一 个 64 位 数 , 代 表 当 
前 的 日 期 和 时 间 ,每 产生 一 个 伪 随 机 数 它 均 要 改变 。V; 是 种 子 值 ,可 以 是 任意 的 64 位 数 ， 
并 在 随机 数 生 成 过 程 中 被 更 新 。 从 图 中 很 容易 得 到 随机 数 序列 和 下 一 轮 的 种 子 。 

R; = EDEtk ,ka(CV 田 EDEtk .rj (DT,)) 
Vin = EDEtk .kr,1 (Ri® EDErx .kr (DT)) 
其 中 EDEtk ,cj(CX) 表 示 使 用 两 个 密 钥 K， 和 Ks 的 三 重 DES 加 密 X。 


3.11 对 称 密码 的 密 钥 分 配 


3.11.1 密 钥 分 配 基本 方法 


对 称 密码 体制 要 求 双方 共享 一 个 共同 的 密 钥 ,并 且 为 防止 攻击 者 得 到 密 钥 ,还 必须 时 常 
更 新 密 钥 。 通 常安 全 系统 存在 的 问题 是 出 在 密 钥 分 配 (Key Distribution) 上 。 如 何 安全 的 
分 发 这 个 密 钥 是 对 称 密码 体制 的 核心 问题 。 在 两 个 用 户 ( 主 机 、 进 程 . 应 用 程序 ) A 和 B 之 
间 分 配 密 钥 的 方法 有 以 下 几 种 。 

(1) 密 钥 由 A 选取 ,并 通过 物理 手段 交 给 B。 

(2) 密 钥 由 第 三 方 选取 ,并 由 第 三 方 通过 物理 手段 交 给 A 和 B。 

(3) 如 果 A、B 事 先 已 有 一 密 钥 , 则 其 中 一 方 选取 新 密 钥 后 ,用 已 有 的 密 钥 加 密 新 密 钥 
并 发 送 给 另 一 方 。 

(4) 如 果 A 和 B 与 可 信 的 第 三 方 C 分别 有 一 保密 通道 , 则 C 为 A.B 选 取 密 钥 后 ,分别 
在 两 个 保密 信道 上 发 送 给 A 、B。 

前 两 种 方法 称 为 人 工 发 送 。 在 通信 网 中 ,车 只 有 个 别 用 户 想 进 行 保密 通信 , 密 钥 的 人 工 
发 送 还 是 可 行 的 。 然 而 如 果 所 有 用 户 都 要 求 支持 加 密 服务 , 则 任意 一 对 希望 通信 的 用 户 都 
必须 有 一 共享 密 钥 。 如 果 有 个 用 户 , 则 密 钥 数目 为 n(n 一 1)/2。 因 此 当 nn 很 大 时 , 密 钥 分 
配 的 代价 非常 大 ,如 当 有 1000 个 结 点 时 ,需要 多 达 50 万 个 密 钥 ,如 果 加 密 在 应 用 层 , 则 每 个 
用 户 或 者 进程 都 需要 一 个 密 钥 ,那么 密 钥 分 配 任务 更 重 。 

对 于 第 3 种 方法 ,攻击 者 一 旦 获得 一 个 密 钥 就 可 获取 以 后 所 有 的 密 钥 ,而 且 用 这 种 方法 
对 所 有 用 户 分 配 初始 密 钥 时 ,代价 仍然 很 大 。 

第 4 种 方法 比较 常用 ,其 中 的 第 三 方 通常 是 一 个 负责 为 用 户 分 配 密 钥 的 密 钥 分 配 中 心 
(Key Distribution Center,KDC)。 这 时 每 一 用 户 必须 和 密 钥 分 配 中 心 有 一 个 共享 密 钥 , 称 
为 主 密 钥 (Master Key) 。 通 过 主 密 钥 分 配给 一 对 用 户 的 密 钥 称 为 会 话 密 钥 (Session Key)， 
用 于 这 一 对 用 户 之 间 的 保密 通信 。 通 信 完 成 后 ,会 话 密 钥 即 被 销毁 。 如 上 所 述 , 如 果 用 户 数 
为 n, 则 会 话 密 钥 数 为 n(n 一 1)/2。 但 主 密 钥 数 却 只 需 个 ,所 以 主 密 钥 可 通过 物理 手段 发 送 。 

一 个 完整 的 密 钥 分 配方 案 需要 完成 两 个 功能 : 一 是 将 密 钥 分 发 给 双方 ; 二 是 双方 互相 
认证 ,确保 密 钥 一 定 只 给 了 双方 。 图 3. 50 是 一 个 典型 的 密 钥 分 配 过 程 。 由 密 钥 分 配 中 心 
(KDC) 产 生 会 话 钥 ,然后 分 发 给 A 和 B。 图 中 字符 的 含义 如 下 。 
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密 钥 分 配 
中 心 
密 角 分 发 (DIDADalN 
步骤 © ExgKsliDalliDalNi Er Ks,1DA)] 


(3) Exs[KsINDa] 


(4) Eks[N2] 


(5) Ers[f (N2)] 


3.50” 密 钥 分 配 过 程 


。 K, 和 Ks 分 别 是 A 和 B 各 自 拥有 与 KDC 共享 的 主 密 钥 。 

。 Ks 是 分 配给 A 和 B 的 一 次 性 会 话 钥 。 

。 Ni 和 N: 是 临时 交互 号 (Nonces) ,可 以 是 时 间 戳 .计数 器 或 随机 数 , 主 要 用 于 防止 

重 放 攻 击 。 

。 TDA 和 IDs 分 别 是 A 和 B 的 身份 标识 (例如 A 和 B 的 网 络 地 址 )。 

。 fC(N;) 是 对 Ns 的 某 种 变换 (例如 将 Ns 加 1) 函数 ,目的 是 认证 。 

| 表示 连接 符 , 如 TDA | TDse Ni 表示 同时 传送 了 IDa、IDs 和 Ni。 

A 和 B 之 间 的 会 话 密 钥 是 通过 以 下 几 步 来 完成 。 

(1) A 向 KDC 发 出 会 话 密 钥 请 求 。 表 示 请 求 的 消息 由 两 个 数据 项 组 成 ,第 1 项 是 A 和 
也 的 身份 IDA 和 IDs ,第 2 项 是 这 一 步骤 的 唯一 识别 符 Ni , 称 为 临时 交互 号 。 每 次 请 求 所 
用 的 都 应 不 同 , 且 为 防止 假冒 ,应 使 敌手 对 难以 猜测 。 因 此 用 随机 数 作为 这 个 识别 符 最 为 合 
适 。 使 用 临时 交互 号 的 目的 是 防止 重 放 攻 击 。 

(2) KDC 为 A 的 请 求 发 出 应 答 。 应 答 是 用 A 和 KDC 的 共享 的 主 密 钥 K,。 加 密 , 因 此 
只 有 A 才能 成 功 地 对 这 一 消息 解密 ,并 且 A 可 相信 这 一 消息 的 确 是 由 KDC 发 出 的 。 消 息 
中 包括 给 A 的 两 项 内 容 : 

。 一 次 性 会 话 密 钥 Ks。 

。 A 在 (1) 中 发 出 的 请 求 ,包括 一 次 性 随机 数 Ni ,目的 是 使 A 将 收 到 的 应 答 与 发 出 的 

请 求 相 比较 ,看 是 否 匹 配 。 这 样 A 能 验证 自己 发 出 的 请 求 在 被 KDC 收 到 之 前 ,是 
否 被 他 人 算 改 。 而 且 A 可 以 确定 收 到 的 这 个 消息 是 否 是 对 它 请 求 的 响应 ,而 不 是 
将 以 前 消息 的 重 放 。 

此 外 ,该 消息 中 还 有 给 B 的 两 项 内 容 : 

。 一 次 性 会 活 密 钥 Ks。 

。 A 的 身份 IDA。 

这 两 项 由 B 和 KDC 的 共享 的 主 密 钥 K, 加 密 ,将 由 A 转发 给 B, 以 建立 A、B 之 间 的 连 
接 并 用 于 向 B 证 明 A 的 身份 。 

(3) A 存储 会 话 密 钥 备用 ,并 向 B 转发 Ek, [LKs | IDa]。 因 为 转发 的 是 由 Ku 加 密 后 的 
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密 文 ,所 以 转发 过 程 不 会 被 窃听 。B 收 到 后 ,可 得 会 话 密 钥 K., 并 且 可 知 另 一 方 是 A, 还 从 
Ku 知道 Ks 的 确 来 自 KDC。 

这 一 步 完 成 后 ,会话 密 钥 就 安全 地 分 配给 了 A、B。 下 面 需 要 在 A 和 B 之 间 进 行 认证 : 

(4) B 用 会 话 密 钥 Ks 加 密 另 一 个 临时 交互 号 N; ,并 将 加 密 结果 发 送 给 A。 

(5) A 以 fCN;) 作 为 对 B 的 应 答 , 其 中 了 是 对 Ns 进行 某 种 变换 (例如 加 1) 的 函数 ,并 
将 应 答 用 会 话 密 钥 加 密 后 发 送 给 B。 注 意 一 点 ,如 果 不 将 Ns 进行 某 种 变换 ,直接 以 N, 作 
为 应 答 ,会 存在 重 放 攻 击 。 

这 两 步 可 使 B 相信 第 3 步 收 到 的 消息 不 是 一 个 重 放 。 并 且 双 方 进行 了 认证 。 

第 4 和 第 5 步 是 典型 挑战 /应 答 (Challenge/Response) 认 证 方式 。 假 设 A 期 望 从 B 获 
得 一 个 新 消息 ,首先 发 给 B 一 个 临时 值 (Challenge) ,并 要 求 后 续 从 B 收 到 的 消息 (Response) 
中 正确 包含 这 个 临时 值 。 


3.11.2 密 钥 的 分 层 控制 


网 络 中 如 果 用 户 数目 非常 多 而 且 分 布 的 地 域 非常 广 , 一 个 KDC 就 无 法 承担 为 用 户 分 
配 密 钥 的 重任 。 问 题 的 解决 方法 是 使 用 多 个 KDC 的 分 层 结构 。 例 如 ,在 每 个 小 范围 (如 一 
个 LAN 或 一 个 建筑 物 ) 内 ,都 建立 一 个 本 地 KDC。 同 一 范围 的 用 户 在 进行 保密 通信 时 ,由 
本 地 KDC 为 他 们 分 配 密 钥 。 如 果 两 个 不 同 范围 的 用 户 想 获得 共享 密 钥 , 则 可 通过 各 自 的 
本 地 KDC, 而 两 个 本 地 KDC 的 沟通 又 需 经 过 一 个 全 局 KDC。 这 样 就 建立 了 两 层 KDC。 类 
似 地 ,根据 网 络 中 用 户 的 数目 及 分 布 的 地 域 , 可 建立 三 层 或 多 层 KDC。 

分 层 结构 可 减少 主 密 钥 的 分 布 , 因 为 大 多 数 主 密 钥 是 在 本 地 KDC 和 本 地 用 户 之 间 共 享 。 
此 外 ,如 果 一 个 本 地 KDC 出 错 或 者 被 攻击 , 则 危害 只 限制 在 一 个 局 部 区 域 ,而 不 会 影响 全 局 。 


3.11.3 会 话 密 钥 的 有 效 期 


会 话 密 钥 更 换 得 越 频繁 ,系统 的 安全 性 就 越 高 。 因 为 攻击 者 即使 获得 一 个 会 话 密 钥 ,也 
只 能 获得 很 少 的 密 文 。 但 另 一 方面 ,会 话 密 钥 更 换 得 太 频 繁 ,又 将 延迟 用 户 之 间 的 交换 , 同 
时 还 造成 网 络 负担 。 所 以 在 决定 会 话 密 钥 的 有 效 期 时 ,应 权衡 这 两 个 方面 。 

对 于 面向 连接 的 协议 ,在 连接 未 建立 前 或 断 开 时 ,会 话 密 钥 的 有 效 期 可 以 很 长 。 而 每 次 
建立 连接 时 ,都 应 使 用 新 的 会 话 密 钥 。 如 果 逻 辑 连接 的 时 间 很 长 , 则 应 定期 更 换 会 话 密 钥 。 

对 于 无 连接 协议 (如 面向 交易 的 协议 ) ,无 法 明确 地 决定 更 换 密 钥 的 频率 。 为 安全 起 见 ， 
用 户 每 进行 一 次 交换 ,都 用 新 的 会 话 密 钥 。 然 而 这 又 失去 了 无 连接 协议 主要 的 优势 ,如 延 时 
了 交易 时 间 ,每 个 交易 都 希望 用 最 少 的 费用 和 最 短 的 延迟 。 比 较 好 的 方案 是 在 某 一 固定 周 
期 内 或 对 一 定数 目的 交易 使 用 同一 会 话 密 钥 。 


3.11.4 无 中 心 的 密 钥 分 配 


用 密 钥 分 配 中 心 (第 三 方 ) 为 用 户 分 配 密 钥 时 ,要 求 所 有 用 户 都 信任 KDC, 同 时 还 要 求 
对 KDC 加 以 保护 。 如 果 密 钥 的 分 配 没 有 这 个 中 心 , 则 不 必 有 以 上 两 个 要 求 。 在 下 面 的 分 
配方 案 中 ,每 个 用 户 事先 和 其 他 用 户 之 间 存 在 一 个 主 密 钥 ,然后 使 用 这 些 主 密 钥 产生 会 话 
钥 。 如 果 网 络 中 有 个 用 户 , 则 需 有 nn 一 1)/2 个 主 密 钥 。 当 很 大 时 ,整个 网 络 中 的 主 密 
钥 很 多 ,但 每 个 结 点 最 多 只 保存 ”一 1 个 主 密 钥 ,用 这 些 主 密 钥 可 以 产生 很 多 会 话 钥 。 
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图 3. 51 是 一 个 无 中 心 的 密 钥 分 配 过 程 。 
(0D 


G3) 


3.51 无 中 心 的 密 钥 分 配 过 程 


IDallDBelIN! 


72) EuxalKsIlIDaINDaell f (NDIN2] 


Exs[f (N2)] 


两 个 用 户 A 和 B 建立 会 话 密 钥 需 经 以 下 三 个 步骤 。 


(1) A 向 B 发 出 建立 会 话 密 钥 的 请 求 ,包括 A、B 的 身份 标识 和 临时 交互 号 Ni 。 
(2) B 用 与 A 共享 的 主 密 钥 MK 对 应 答 的 消息 加 密 , 并 发 送 给 A。 应 答 的 消息 中 包 


括 选 取 的 会 话 密 钥 Ks 、B 的 身份 标识 、f(N1) 和 男 一 个 临时 交互 号 N;。 
(3) A 使 用 新 建立 的 会 话 密 钥 Ks 对 /(N;) 加 密 后 返回 给 B。 


以 上 过 程 也 完成 了 两 件 事 ,一 是 在 A 和 B 之 间 分 配 了 会 话 钥 ; 二 是 A 和 B 进行 了 相互 
认证 。 在 过 程 1 和 过 程 2 中 ,挑战 (Challenge) 是 临时 交互 号 Ni, 应 答 (Response) 是 
fCN1) ,完成 了 A 对 B 的 认证 。 在 过 程 2 和 过 程 3 中 ,挑战 (Challenge) 是 临时 交互 号 Ns， 


应 答 (Response) 是 f(N;,), 完 成 了 B 对 A 


3.12 关键 术语 


密码 学 (Cryptology) 

密码 编码 学 (Cryptography) 

密码 分 析 学 (Cryptanalysis) 

密码 分 析 者 (Cryptanalyst) 

明文 (Plaintext) 

加 密 (Encryption) 

密 文 (Ciphertext) 

解密 (Decryption) 

密码 (Cipher) 

密码 体制 (Cryptosystem) 

密 钥 (Key) 

分 组 密码 (Block Ciphers) 

流 密码 (Stream Ciphers) 

对 称 加 密 (Symmetric Encryption) 
穷 举 攻击 (Brute Force Search) 

唯 密 文 攻击 (Ciphertext-Only Attack) 
已 知 明 文 攻击 (Known-Plaintext Atta 
选择 明文 攻击 (Chosen-Plaintext Atta 


的 认证 。 


ck) 
ck) 
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选择 密 文 攻击 (Chosen-Ciphertext Attack) 
选择 文本 攻击 (Chosen Text Attack) 

绝对 安全 (Unconditional Security) 

计算 上 安全 (Computational Security) 

代 换 (Substitution) 

置换 (Permutation) 

单字 母 代 换 密码 (Monogram Substitution Cipher) 
多 字母 代 换 密码 (Polygram Substitution Cipher) 
单 表 代 换 密码 (Monoalphabetic Substitution Cipher) 
多 表 代 换 密码 (Polyalphabetic Substitution Cipher) 
代 换 密码 (Substitution Cipher) 

仿 射 密码 (Affine Cipher) 

置换 密码 (Permutation Cipher) 

扩散 (Diffusion) 

混淆 (Confusion) 

数据 加 密 标准 (Data Encryption Standard,DES) 
高 级 加 密 标 准 (Advanced Encryption Standards, AES) 
同步 流 密码 (Synchronous Stream Cipher) 

自 同步 流 密码 (Self-Synchronous Stream Cipher) 
线性 同 余 (Linear Congruential) 

密 钥 分 配 (Key Distribution) 

主 密 钥 (Master Key) 

会 话 密 钥 (Session Key) 

密 钥 分 配 中 心 (Key Distribution Center, KDC) 


3.13 习 题 


3.1 下 式 是 仿 射 密码 的 加 密 变 换 
< 一 (3 十 5) mod 26 

试 求 : 

(1) 该 密码 的 密 钥 空间 是 多 少 ? 

(2) 求 出 消息 hello 对 应 的 密 文 。 

(3) 写 出 它 的 解密 变换 。 

(4) 试 对 密 文 进行 解密 。 

3.2 用 Playfair 密码 加 密 下 面 消息 : 

ciphers using substitutions or transpositions are not secure because of language 
characteristics。 密 钥 为 the playfair cipher was invented by Charles Wheatstone。 

3.3 假设 密 钥 为 encryption, 用 维 吉 尼 亚 密 码 加 密 消 息 symmetric schemes require 
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both parties to share a common secret key。 
3.4 Hill 密码 不 能 抵抗 已 知 明文 攻击 ,如 果 有 足够 多 的 明文 和 密 文 对 ,就 能 破解 Hill 密码 。 
(1) 攻击 者 至 少 有 多 少 个 不 同 明文 - 密 文 对 才能 攻破 该 密码 ? 
(2) 描述 这 种 攻击 方案 。 
3.5 用 Hill 密码 加 密 消 息 hill, 密 钥 为 


人 引 
Ei 

并 写 出 从 密 文 恢复 明文 的 解密 过 程 。 

3.6 用 一 次 一 密 加 密 消息 01011010101100111100010101010101011011110001010001, 选 
定 的 密 钥 是 10010101011110101101000101000001111100100101010010, 试 写 出 密 文 。 

3.7 使 用 DES 加 密 , 假 设 明 文 和 密 钥 都 为 (0123456789ABCDEF)1 二 (00000001 
00100011 01000101 01100111 10001001 10101011 11001101 11101111); 

(1) 推导 出 第 一 轮 的 子 密 钥 Ki 。 

(2) 写 出 R。 和 工 ,。 

(3) 扩展 Re 并 计算 ECRo)@ Ki。 

(4) 将 第 3 问 的 结果 ,输入 到 8 个 S 盒 , 求 出 加 密 函 数 下 。 

(5) 推导 出 R 和 工 。 

3.8 在 GF(28) 上 {(01} 的 逆 是 什么 ?” 并 验证 其 在 S 盒 中 的 输入 。 

3.9 假设 AES 的 State 矩阵 的 某 一 列 分 别 是 一 (87},s 二 {6E}),sz 二 {46},ss 
{A6}。 经 过 列 混淆 变换 后 ,si 一 {6E} 映 射 为 %i 一 {37}, 试 计算 验证 这 一 结果 。 

3. 10 采用 AES 加 密 , 密 钥 为 2B7E 15 16 28 AE D2 A6 ABF7 15 88 09 CF 4F 3C, 明 
文 为 32 43 F6 AD 88 5A 30 8D 3131 98 A2 E0 37 07 34。 

(1) 写 出 最 初 的 State 的 值 。 

(2) 写 出 密 钥 扩展 数组 中 的 前 8 个 字 节 。 

(3) 写 出 初始 轮 密 钥 加 后 State 的 值 。 

(4) 写 出 字 节 代 换 后 State 的 值 。 

(5) 写 出 行 移 位 后 的 State 的 值 。 

(6) 写 出 列 混淆 后 State 的 值 。 

3.11 有 一 个 四 级 线性 移 位 寄存 器 的 反馈 函数 为 f(a ,az ,as,a4) 二 al 四 oa ,其 中 初 态 
为 (ai ,ar ,asyai) 一 (1000) , 求 其 输出 序列 的 前 12 位 。 

3.12 假如 使 用 3 位 (0 一 7) 的 RC4, 其 操作 是 对 8 取 模 (而 不 是 对 256 取 模 ) , 密 钥 是 326 。 

(1) 求 初始 化 后 S 表 的 值 。 

(2) 计算 第 1 个 密 钥 字 。 

(3) 用 上 面 生成 的 密 钥 加 密 明 文 100101。 

3.13 在 8 位 CFB 模式 中 ,如 果 传 输 中 一 个 密 文 字符 发 生 错误 ,这 个 错误 将 传 多 远 ? 

3.14 编写 仿 射 密码 的 加 密 和 人 解密 程序 。 

3.15” 写 一 个 程序 实现 维 吉 尼 亚 (Vigenere) 密 码 的 加 密 和 解密。 

3 

3 


_ 


.16 ”编程 实现 AES 算法 。 
.17 编程 实现 线性 同 余 伪 随机 数 生 成 算法 。 


第 4 童 公 角 密码 技术 


本 章 导 读 

后 本 章 主要 介绍 几 个 著名 的 公 角 密码 算法 。 

局 公 钥 密码 算法 是 基于 数学 函数 (如 单 向 陷 门 函数 ) 而 不 是 基于 代 换 和 置换 。 

局 公 钥 密码 体制 也 称 非 对 称 密码 体制 , 它 使 用 两 个 独立 的 密 钥 , 即 公 钥 和 私 钥 。 加 密 
和 解密 用 不 同 的 密 钥 。 

后 RSA 算法 是 非常 著名 的 公 钥 密码 算法 。 它 的 安全 性 是 建立 在 大 合 数 的 质 因子 分 解 
问题 的 困难 性 上 。 

扣 ElGamal 算法 也 一 个 著名 的 公 钥 密码 算法 。 其 安全 性 是 依赖 于 计算 有 限 域 上 离散 
对 数 这 一 难题 。 

如 椭圆 曲线 密码 是 性 能 很 高 的 公 角 密码 算法 ,密码 应 用 中 所 使 用 的 两 类 椭圆 曲线 是 定 
义 在 素 域 Z。 上 的 素 曲 线 和 在 GF(2") 上 构造 的 二 元 曲线 。 

局 公 钥 分 配 不 是 要 对 公 铀 进行 保密 ,而 是 保证 公 钥 的 真实 性 和 完整 性 。 使 用 公 铀 可 以 
很 方便 地 分 配对 称 密 钥 。 

如 Diffie-Hellman 密 钥 交 换 是 非常 著名 的 密 钥 交换 协议 。 会 话 钥 不 是 直接 传送 给 对 
方 ,而 是 双方 独立 计算 的 结果 。 


公 钥 密码 技术 是 为 了 解决 对 称 密码 技术 中 最 难 解决 的 两 个 问题 而 提出 的 。 一 是 对 称 密 
码 技术 的 密 钥 分 配 问 题 。 利 用 对 称 密码 进行 保密 通信 时 ,通信 的 双方 必须 首先 预约 持 有 相 
同 的 密 钥 才能 进行 。 当 用 户 数量 很 大 时 .互相 之 间 需 要 很 多 密 钥 ,并 且 为 了 安全 起 见 , 密 钥 
应 当 经 常 更 换 。 在 网 络 上 产生 存储、 分 配 管理 如 此 大 量 的 密 钥 ,其 复杂 性 和 危险 性 都 是 很 
大 的 。 二 是 对 称 密码 不 能 实现 数字 签名 。 使 用 密码 技术 不 仅仅 是 为 了 保密 发 送 的 消息 ,在 
很 多 情况 下 需要 知道 该 消息 是 出 自 某 个 人 ,并 且 各 方 对 此 均 无 异议 ,这 类 似 于 现实 生活 的 手 
写 签名 。 为 此 ,人 们 和 希望 能 设计 一 种 新 的 密码 ,从 根本 上 克服 传统 密码 在 密 钥 管理 上 的 困 
难 , 而 且 容易 实现 数字 签名 ,能 够 适合 计算 机 网 络 环境 的 各 种 应 用 。 公 钥 密 码 系统 的 出 现 正 
好 弥补 了 上 述 缺陷 。Diffie 和 Hellman 于 1976 年 在 《密码 学 的 新 方向 ) 中 首次 提出 了 公 钥 
密码 的 观点 ,标志 着 公 钥 密码 学 研究 的 开始 。1977 年 由 Rviest,Shmair 和 Adlmena 提出 了 
第 一 个 比较 完善 的 公 钥 密码 算法 , 即 RSA 算法 。 从 那 时 候 起 .人们 基于 不 同 的 计算 问题 提 
出 了 大 量 的 公 钥 密码 算法 。 


4.1 公 钥 密码 体制 


公 钥 密码 体制 (PublicKey Cryptosystem ) 也 称 非 对 称 密码 体制 (Asymmetric 
Cryptosystem) 或 者 双 钥 密码 体制 (Two-Key Cryptosystem) 。 它 与 对 称 密码 体制 所 采用 的 
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技术 完全 不 同 , 公 钥 密码 算法 是 基于 数学 函数 (如 单 向 陷 门 函数 ) 而 不 是 基于 代 换 和 置换 。 
公 钥 密码 是 非 对 称 的 , 它 使 用 两 个 独立 的 密 钥 , 即 公 钥 (Public Key) 和 私 钥 (Private Key) 。 
公 钥 可 以 被 任何 人 知道 ,用 于 加 密 消 息 以 及 验证 签名 ; 私 钥 仅仅 自己 知道 的 ,用 于 解密 消息 
和 签名 。 加 密 和 人 解密 会 使 用 两 把 不 同 的 密 钥 , 因 此 称 为 非 对 称 。 显 然 从 密码 算法 和 公 钥 不 
能 推出 私 钥 。 还 有 一 些 算法 具有 另 一 个 特点 是 .在 这 两 个 独立 的 密 钥 中 ,任何 一 个 都 可 以 用 
来 加 密 , 另 一 个 用 来 解密 。 

一 个 公 钥 密码 体制 有 6 个 部 分 构成 : 明文 ,加 密 算 法 , 公 钥 和 私 钥 , 密 文 ,解密 算法 。 可 
以 构成 两 种 基本 的 模型 : 加 密 模型 和 认证 模型 。 在 加 密 模型 中 ,发 送 方 用 接收 方 的 公 钥 作 
为 加 密 密 钥 ,用 接收 方 私 钥 作 解密 密 钥 ,由 于 该 私 钥 只 有 接收 方 拥有 ,因此 即 只 有 接收 者 才 
能 解密 密 文 得 到 明文 ,如 图 4.1 所 示 。 假 设 用 户 A 向 用 户 B 发 消息 M, 用 户 A 首先 用 用 户 
B 公开 的 公 钥 PUs 加 密 消息 M, 得 到 密 文 

C= Epo (M) 

其 中 是 加 密 算法 ,然后 发 送 给 用 户 B。 用 户 B 用 自己 的 私 钥 PRs 解密 密 文 ,从 而 可 以 得 
到 明文 M 二 Epr,(C) ,其 中 DD 是 解密 算法 。 由 于 只 有 B 知道 PRs, 所 以 其 他 人 不 能 解密 C。 

在 认证 模型 中 ,发送 方 用 自己 的 私 钥 对 消息 进行 变换 ,产生 签名 ,将 该 签名 发 送 给 接收 
方 。 接 收 者 用 发 送 者 的 公 钥 对 签名 进行 验证 以 确定 签名 是 否 有 效 。 只 有 拥有 私 钥 的 发 送 者 
才能 对 消息 产生 有 效 的 签名 ,任何 人 均 可 以 用 签名 人 的 公 钥 来 检验 该 签名 的 有 效 性 。 在 
图 4.2 中 ,用 户 A 首先 用 自己 的 私 钥 PRA 对 消息 M 加 密 ,加 密 后 的 消息 就 是 数字 签名 


C = Err, (M) 
接收 方 B 发 送 方 A 接收 方 B 
下 天 es 
加 解 
证 -人 
妨 忌 | M | C | M 已 
|” 法 法 
[I 
PRB PRa PUA 
密 钥 源 密 钥 源 
图 4.1 公 钥 加 密 模型 图 4.2 ” 公 钥 认证 模型 


然后 将 C 传 给 用 户 B。 用 户 了 用 A 的 公 钥 PUA 验证 签名 , 即 解密 
M = Er, (C) 

如 果 能 够 用 A 的 公 钥 PUA 能 够 解密 ,说 明 该 消息 来 自 A, 因 为 只 有 A 才 有 这 个 公 钥 。 也 由 
于 其 他 人 没有 A 的 私 钥 , 所 以 任何 人 也 不 能 自 改 该 消息 。 

在 上 面 的 认证 的 模型 中 ,认证 是 对 发 送 方 的 整个 消息 进行 加 密 , 这 种 方法 可 以 验证 发 送 
方 和 消息 的 有 效 性 ,但 却 需 要 大 量 的 储存 空间 。 实 际 的 做 法 是 先 对 消息 进行 一 个 函数 变换 ， 
将 消息 变换 成 一 个 小 数据 ,然后 再 对 小 数据 进行 签名 。 这 种 方法 将 在 后 面 的 章节 讨论 。 

在 认证 模型 中 ,消息 没有 保密 ,任何 人 都 可 以 用 发 送 者 的 公 钥 解密 消息 。 如 果 综 合 加 密 
模型 和 认证 模型 , 则 同时 具有 保密 和 认证 功能 ,如 图 4. 3 所 示 。 

发 送 方 A 先 用 自己 的 私 钥 PRA 加 密 消息 M, 用 于 提供 数字 签名 。 再 用 接收 方 B 的 公 
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钥 PUs 加 密 ,表示 为 发 送 方 A 接收 方 B 
C= Ey, (Em, (MY) ce， 全 
接收 方 号 在 解密 时 , 先 用 自己 的 私 钥 解 下 和 
密 , 然 后 再 用 发 送 方 A 的 公 钥 解密 ,表示 为 || 法 |X | 法 5 潜 |X | 法 | | 


M = Epu, (Err, (M)) 

从 上 面 的 加 密 和 认证 模型 中 ,我 们 可 以 
发 现 一 个 公 钥 密码 系统 应 该 满足 下 面 几 个 
要 求 。 

(1) 同一 算法 用 于 加 密 和 解密 ,但 加 密 
和 解密 使 用 不 同 的 密 钥 。 

(2) 两 个 密 钥 中 的 任何 一 个 都 可 用 来 加 密 , 另 一 个 用 来 解密 ,加 密 和 解密 次 序 可 以 
交换 。 

(3) 产生 一 对 密 钥 ( 公 钥 和 私 钥 ) 在 计算 上 是 可 行 的 。 

(4) 已 知 公 钥 和 明文 ,产生 密 文 在 计算 上 是 容易 的 。 

(5) 接收 方 利用 私 钥 来 解密 密 文 在 计算 上 是 可 行 的 。 

(6) 仅 根 据 密码 算法 和 公 钥 来 确定 私 钥 在 计算 上 不 可 行 。 

(7) 已 知 公 钥 和 密 文 ,在 不 知道 私 钥 的 情况 下 ,恢复 明文 在 计算 上 是 不 可 行 的 。 

上 面 要 求 的 实质 是 要 找 一 个 单 向 陷 门 函数 。 单 向 函数 在 第 2 章 已 经 作 了 详细 的 介绍 。 
它 指 计算 函数 值 是 容易 的 ,而 计算 函数 的 逆 是 不 可 行 的 。 隐 门 单 向 函数 则 存在 一 个 附加 信 
息 , 当 不 知道 该 附加 信息 时 ,从 函数 逆 是 困难 的 ,但 当知 道 该 附加 信息 时 , 求 函 数 逆 就 变 得 容 
易 了 。 陷 门 单 向 函数 在 附加 信息 未 知 时 是 单 向 函数 ,而 当 附 加 信息 已 知 时 ,就 不 再 是 单 向 函 
数 了 。 通 常 把 附加 信息 称 为 陷 门 信息 , 陷 门 信息 作为 私 钥 , 公 钥 密 码 体制 就 是 基于 这 一 原理 
而 设计 的 。 其 安全 强度 取决 于 它 所 依据 的 问题 的 计算 复杂 度 。 


4.3” 公 和 钥 密 码 体制 的 保密 和 认证 


4.2 公 钥 密码 分 析 


和 对 称 密 码 体制 一 样 , 如 果 密 钥 太 短 , 公 钥 密码 体制 也 易 受 到 穷 举 搜索 攻击 。 因 此 密 钥 
必须 足够 长 。 然 而 又 由 于 公 钥 密码 体制 所 使 用 的 可 递 函 数 的 计算 复杂 性 与 密 钥 长 度 常常 不 
是 线性 关系 ,而 是 比 线性 函数 增 大 更 快 函数 。 所 以 密 钥 长 度 太 大 又 会 使 得 加 密 和 解密 运算 
太 慢 而 不 实用 。 目 前 提出 的 公 钥 密码 体制 的 密 钥 长 度 已 经 足够 抵抗 穷 举 攻击 ,但 也 使 它 加 
密 和 解密 速度 变 慢 , 因 此 公 钥 密码 体制 一 般 用 于 加 密 小 数据 ,如 会 话 钥 ,目前 主要 用 于 密 钥 
管理 和 数字 签字 。 

对 公 钥 密码 算法 的 第 二 种 攻击 从 公 钥 计算 出 私 钥 。 目 前 为 止 , 还 没有 在 数学 上 证 明 这 
个 方面 是 不 可 行 的 。 

还 有 一 种 仅 适 用 于 对 公 钥 密码 算法 的 攻击 法 , 称 为 穷 举 消息 攻击 。 由 于 公 钥 密 钥 算法 
常常 用 于 加 密 短 消息 ,只 要 穷 举 这 些 短 消 息 , 就 可 以 解密 消息 。 例 如 假设 用 公 钥 算法 加 密 
DES 的 56 位 密 钥 ,攻击 者 可 以 用 算法 的 公 钥 对 所 有 可 能 56 位 的 密 钥 加 密 , 再 与 截获 的 密 
文 相 比 较 。 如 果 一 样 , 则 相应 的 明文 即 DES 的 密 钥 。 因 此 不 管 公 钥 算 法 的 密 钥 多 长 ,这 种 
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攻击 的 本 质 是 对 56 位 DES 密 钥 的 穷 举 攻击 。 抵 抗 这 种 攻击 的 方法 是 在 和 欲 发 送 的 消息 后 添 
加 一 些 随 机 位 。 


4.3 RSA 密码 


RSA 算法 是 1977 年 由 Rivest、Shamir、Adleman 提出 的 非常 著名 的 公 钥 密码 算法 。 它 
是 基于 大 合 数 的 质 因 子 分 解 问 题 的 困难 性 。RSA 算法 是 一 种 分 组 密码 ,明文 和 密 文 是 
0 一 ?一 1 之 间 的 整数 ,通常 的 大 小 为 1024 位 二 进 制 数 或 309 位 十 进 制 数 。 


4.3.1 算法 描述 


1. 密 钥 的 产生 
(1) 随机 选择 两 个 大 素数 p,q。 
(2) 计算 n= 二 pXg。 
(3) 计算 秘密 的 欧 拉 函数 p(n) 二 (p 一 1)(g 一 1)。 
(4) 选择 e 使 得 1 二 ep(n), 征 gcd(e,gp(n))==1。 
(5) 解 下 列 方程 求 出 4。 
ed 三 1 mod ¢(n), 有 8 0<d<n 
(6) 公开 公 钥 : PU= {e,N}。 
(7) 保存 私 钥 : PR= {4d,p,q})。 
2. 加 密 过 程 
加 密 时 明文 以 分 组 为 单位 进行 加 密 . 每 个 分 组 m 的 二 进 制 值 均 小 于 nn, 对 明文 分 组 mm 
作 加 密 运算 : 
c=m modn, 有 OZm=n 
3. 解密 过 程 
密 文 解密 m= 二 c? mod n 
4. 签名 过 程 
计算 签名 s 二 m* mod 7 
5. 签名 验证 过 程 
签名 验证 mn 二 5s* mod n 
下 面 证 明 RSA 算法 解密 的 正确 性 。 


证 明 : 
c=m:modn=m"* mod n=m™ mod 7 三 加 iot modn 
下 面 分 两 种 情况 : 
(1) gcd(m,n) 二 1, 由 欧 拉 定 理 
m”™” =1 modn 


有 m*?” 寺 1 mod n,m*? ?tm mod n 
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即 c* mod n=m 

(2) gcd(m,n) 关 1, 由 于 n 王 pg: 所 以 m 是 p 的 倍数 或 者 是 g 的 倍数 。 假设 光 一 cp,c 为 
小 于 g 的 正 整 数 ,那么 必 有 gcd(m,g) 二 1, 否 则 m 也 是 g 的 倍数 ,从 而 是 pg 的 倍数 , 与 
m 二 n 二 pq 艺 盾 。 由 gcd(m,g) 二 1 和 欧 拉 定理 得 


m”? = 1 modg 
所 以 m** 寺 1] mod gq 
又 因为 pg(q)= 二 p 一 1 
所 以 有 
mt Y=1 modg 
即 m** DD modg 
mr?» =1 modg 


因此 存在 一 个 整数 x, 使 得 m*?” 二 1 十 rg。 
两 边 同 乘 以 770 一 C 轧 得 


ert 


=m 二 ren, 即 m*? ?Hm mod n 
所 以 cd mod 7 一 7 。 
例 4.1 选择 素数 : p 二 47 和 qd= 一 71。 
计算 "一 2 一 47X71 一 3337,p(2) 一 ( 一 1)(q 一 1) 一 46X70 一 3220。 
选择 e: 使 gcd(e,3220) 王 1, 选取 e 一 79; 决定 d: de=1 mod 3220 ,得 d 二 1019。 
公开 公 钥 (79,3337} ,保存 私 钥 (1019,47,71)}; 
现 假设 消息 为 M 二 6882326879666683 ,进行 分 组 ,分 组 的 位 数 比 n 要 小 ,我 们 选取 Mi 一 
688,M,=232,M,=687,M,=966,Ms=668,Ms=003。 
Mi 的 密 文 为 C1 二 688”mod 3337 二 1570, 继 续 进 行 类 似 计算 ,可 得 到 最 终 密 文 为 
C= 1570275620912276158 
如 果 解 密 , 计 算 Mi = 二 1570”” mod 3337 一 688, 类 似 可 以 求 出 其 他 明文 。 


4.3.2 RSA 算法 的 安全 性 


RSA 密码 体制 的 安全 性 是 基于 分 解 大 整数 的 困难 性 假设 。RSA 算法 的 加 密 函 数 c= 
m* mod n 是 一 个 单 向 函数 ,所 以 对 于 攻击 者 来 说 ,试图 解密 密 文 是 计算 上 不 可 行 的 。 对 于 
接收 方 解 密 密 文 的 陷 门 是 分 解 n 二 = pg, 由 于 接收 方 知道 这 个 分 解 ,他 可 以 计算 p(z) 一 
(Pp 一 1)(g 一 1) ,然后 用 扩展 欧 几 里 德 算法 来 计算 解密 私 钥 d4。 因 此 对 RSA 算法 的 攻击 有 下 
面 几 个 方法 。 

1. 穷 举 攻击 

最 基本 的 攻击 是 穷 举 攻击 ,也 就 是 尝试 所 有 可 能 的 私 钥 。 抵 抗 穷 举 攻击 的 方法 是 使 用 
大 的 密 钥 空间 ,所 以 位 数 越 多 越 安 全 ,但 也 增加 了 加 密 和 解密 的 复杂 性 ,因此 密 钥 越 大 ,系统 
运行 速度 也 越 慢 。 

2. 数学 攻击 

另 一 种 攻击 方式 是 数学 攻击 , 它 的 实质 是 试图 对 两 个 素数 乘积 的 分 解 , 数 学 攻击 主要 采 
用 下 面 的 几 种 形式 : 
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@ 直接 将 n 分 解 为 两 个 素数 因子 ,这 样 就 可 以 计算 p(z) 一 (p 一 1)(9q 一 1) ,然后 可 以 确 
定 私 钥 4 三 e 1! mod gpg(n)。 

@ 在 不 事先 确定 p\g 的 情况 下 直接 确定 p(z) ,同样 可 以 确定 d 夺 e ! mod gp(n)。 

@ 不 先 确 定 pg() 而 直接 确定 d。 

目前 大 部 分 的 关于 RSA 密码 分 析 的 讨论 都 集中 在 对 n 进行 素 因 子 分 解 上 ,给 定 nn 确定 
p(n) 就 等 价 于 对 n 进行 因子 分 解 ,给 定 e 和 n 时 使 用 目前 已 知 算法 求 出 4 在 时 间 开 销 上 至 
少 和 因子 分 解 问题 一 样 大 ,因此 可 以 把 因子 分 解 的 性 能 作为 一 个 评价 RAS 安全 性 的 基准 。 

对 大 整数 分 解 的 威胁 除了 人 类 的 计算 能 力 外 ,还 来 自分 解 算法 的 进一步 改进 。 一 直 以 
来 因子 分 解 攻击 都 采用 所 谓 二 次 筛 的 方式 ,最 新 的 攻击 算法 是 广义 素数 筛 (Generalized 
Number Filed Sieve,GNFS)。 该 算法 分 解 大 数 的 性 能 大 大 提高 。 由 于 大 数 分 解 近年 来 取 
得 不 少 进展 ,因此 ,就 目前 来 说 ,RSA 的 密 钥 大 小 应 该 选取 1024 一 2048 位 比较 合适 。 除 了 
指定 的 大 小 ,为 了 避免 选择 容易 分 解 的 数值 n, 算 法 的 发 明 者 建议 对 p 和 g 加 以 限制 。 

@OD 和 g 必须 为 强 素数 (Strong Prime)。 注 : 强 素 数 p 的 定义 为 存在 两 个 大 质数 p， 
与 ps ,使 得 pi| p 一 1 且 ps1p 十 1( 一 层 的 强 素数 )。 若 户 与 如 均 满足 上 述 强 素数 的 定义 则 
PP 为 两 层 的 强 素数 。 以 两 层 之 强 素 数 为 因子 的 合成 数 是 一 个 最 难 的 分 解 因 子 问题 。 

@ p 和 g 长 度 应 该 只 差 几 位 ,因而 p 和 g 都 应 该 处 于 10” 一 10'” 之 间 级 。 

@ (p 一 1) 和 (g 一 1) 都 应 该 包含 大 的 素 因子 。 

@ p 与 4 的 差 值 要 能 防止 解 方 程式 (好 9] 一 [22】 一 x 的 可 能 性 。 注 ; (好 9] 

@@ gcd(p 一 1,g 一 1) 应 该 很 小 。 

@@ 和 背 e=n 且 d 二 nM, 那么 4 可 以 容易 确定 。 

3. 选择 密 文 攻击 

令 密 文 为 c= 二 m* mod nn, 亦 即 明文 为 m 二 co mod n。 在 不 知 解密 私 钥 d 的 情况 下 ,攻击 
者 首先 任 选 一 数 + 二 n, 并 计算 以 下 参数 : 


T=r modn 


y=TXc modn 


1 mod 7 


t=r 
然后 ,攻击 者 将 > 送 给 原 加 密 者 签名 ,得 到 一 y* mod n。 
利用 以 上 参数 攻击 者 很 容易 算出 明文 如 下 : 
me nodny 
防止 选择 密 文 攻击 的 方法 是 尽量 避免 随意 给 别人 签名 ,最 实际 的 方法 是 使 用 RSA 加 密 和 签 
名 时 ,用 不 同 的 公私 钥 对 ,这 样 可 以 避免 可 能 的 安全 漏洞 。 
4. 公共 模 数 攻 击 (Common Modulus Attack) 
假设 攻击 者 得 到 两 组 密 文 : 
cl 一 7 mod 7 
ca 一 71 mod 7 
于 e 与 es 互 素 ,攻击 者 可 以 解 出 两 整数 -与 ,满足 
rXe 十 sXe 二 1 (素数 性 质 ) 
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注意 : 上 式 的 解 中 ,rr 与; 有 一 个 是 为 负数 。 假 设 r 为 负数 , 则 攻击 者 很 容易 算出 明文 
7 一 (cll) 一 X(c) mod n, 因 此 不 要 在 一 组 用 户 之 间 共 享 1。 

5. 计时 攻击 

计时 攻击 也 可 以 用 于 对 RSA 算法 的 攻击 。 计 时 攻击 是 攻击 者 通过 监视 系统 解密 消息 
所 花费 的 时 间 来 确定 私 钥 。 时 间 攻 击 方式 比较 独特 , 它 是 一 种 只 用 到 密 文 的 攻击 方式 。 

在 RSA 解密 采用 的 几 种 模 寡 运算 方法 中 都 有 一 个 取 模 的 乘法 函数 ,这 个 函数 在 通常 的 
情况 下 是 很 快 的 ,但 是 在 一 些 特殊 情况 下 花费 的 时 间 比 平时 要 多 得 多 。 由 于 算法 在 运行 时 
间 不 固定 ,攻击 者 可 以 猜 到 一 些 值 。 预 防 计时 攻击 的 方法 有 : 一 是 采用 不 变 的 客运 算 时 间 ， 
保证 所 有 寡 操 作 在 返回 一 个 结果 之 前 花费 的 时 间 相 同 ; 二 是 随机 延 时 ,通过 对 求 寡 算法 增 
加 一 个 随机 延 时 来 迷惑 攻击 者 ; 三 是 隐蔽 ,在 执行 寡 运 算 之 前 先 用 一 个 随机 数 与 密 文 相 乘 。 

另外 ,还 有 RSA 的 能 量 攻击 (Differential Power Attack) 方 法 。 它 是 针对 RSA 加 密 硬 
件 的 攻击 ,但 不 是 破坏 加 密 硬 件 设 备 。 它 是 通过 电源 连 线 测 量 加 密 硬 件 每 个 时 钟 周期 的 能 
量 消 耗 。 如 在 智能 卡 中 ,每 个 指令 ,比如 跳 转 .加 法 、 移 位 等 执行 时 需要 不 同 的 指令 周期 并 且 
消耗 不 同 的 能 量 , 如 果 分 析 测 量 指令 执行 时 的 能 量 值 ,就 可 以 在 能 量 值 图 表 上 区 分 出 这 些 


指令 。 
4.4 ”ElGamal 密码 


ElGamal 是 1985 年 由 TT. ElGamal 提出 的 一 个 著名 的 公 钥 密码 算法 。 该 算法 既 能 用 于 
数据 加 密 也 能 用 于 数字 签名 ,其 安全 性 是 依赖 于 计算 有 限 域 上 离散 对 数 这 一 难题 。 
1. 密 钥 产生 
任 选 一 个 大 素数 p ,使 得 p 一 1 有 大 素 因 子 ,g 是 模 p 的 一 个 本 原 根 , 公 开 p 与 8g。 使 用 
者 任 选 一 私 钥 x,xEL0,p 一 1j, 并 计算 公 钥 > 一 8 mod p。 
公开 公 钥 : y,p,g 
保密 私 钥 : x 
2. 加 密 过 程 
对 于 明文 m, 选 取 一 个 r+,rEL0,p 一 1], 并 计算 
cl 一 85 modp 
cz 一 MX modp 
则 密 文 为 {ci ,cs } 。 
3. 解密 过 程 
先 计算 w= 二 (cf)-! mod p, 再 计算 出 明文 区 二 cs Xw mod p。 
4. 签名 过 程 
假设 对 消息 m 签名 , 任 选 一 个 随机 数 ,使 EE [0,.z 一 1 ,并 计算 
r=g:modp 
s=k'(m—zxXr) mod (p—1) 
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签名 为 {r,s})。 

5. 签名 验证 过 程 

y Xr= g"(mod p) 

例 4.2 假设 Alice 想 要 将 消息 m= 二 559 传送 给 Bob。Alice 任 选 一 个 大 素数 pp 为 
1009,g 是 模 p 的 一 个 本 原 根 , 取 g 为 2。 

选择 保密 的 私 钥 x 为 765, 计 算 公 钥 y==g* mod p 二 2” mod 2579 一 949 。 

Alice 公开 y,p,g 的 值 。 再 选取 一 个 为 853, 计 算 密 文 为 

= od p= 2 m0d 2579 = 435 
cz =mXy modp= 1299 xX 949 mod 2579 = 2396 
Alice 将 密 文 {435,2396} 传 给 Bob ,Bob 计算 下 式 解 密 : 
w= (ct) modp 
m = cs Xw mod p = 2396 Xx (435’®)"! mod 2579 = 1229 

需要 说 明 的 是 ,为 了 避免 选择 密 文 攻击 ,ElGamal 是 对 消息 m 的 hash 值 进行 签名 ,而 
不 是 对 m 签名 。 与 RSA 方法 比较 ,ElGamal 方法 具有 以 下 优点 : 

(1) 系统 不 需要 保存 秘密 参数 ,所 有 的 系统 参数 均 可 公开 。 

(2) 同一 个 明文 在 不 同 的 时 间 由 相同 加 密 者 加 密会 产生 不 同 的 密 文 ,但 ElGamal 方法 
的 计算 复杂 度 比 RSA 方法 要 大 。 

ElGamal 算法 的 安全 性 是 建立 在 有 限 域 上 求 离散 对 数 这 一 难题 基础 上 。 关 于 有 限 域 上 
的 离散 对 数 问题 已 经 进行 了 很 深入 的 研究 .但 到 目前 为 止 还 没有 找到 一 个 非常 有 效 的 多 项 
式 时 间 算 法 来 计算 有 限 域 上 的 离散 对 数 。 通 常 只 要 把 素数 p 选取 得 合适 ,有 限 域 2, 上 的 
离散 对 数 问题 是 难 解 的 。 目 前 要 求 在 EIGamal 密码 算法 的 应 用 中 。 如 果 素 数 p 按 十 进 制 
表示 ,那么 至 少 应 该 有 300 位 数 , 并 且 p 一 1 至 少 应 该 有 一 个 大 的 素数 因子 。 


4.5 椭圆 曲线 密码 


大 多 数 公 钥 密码 系统 都 使 用 具有 非常 大 数目 的 整数 或 多 项 式 , 计 算 量 大 , 密 钥 和 消息 存 
储量 也 极 大 ,致使 工程 实现 变 得 越 来 越 困 难 。 后 来 人 们 发 现 椭圆 曲线 是 克服 此 困难 的 一 个 
强 有 力 的 工具 。 特 别 地 ,以 椭圆 曲线 上 的 点 构成 的 Abel 群 为 背景 结构 实现 各 种 密码 体制 已 
是 公 钥 密码 学 领域 的 一 个 重要 课题 。 椭 圆 曲 线 密码 体制 (Elliptic Curve Cryptosystem， 
ECC) 的 依据 是 定义 在 椭圆 曲线 点 群 上 的 离散 对 数 问 题 的 难 解 性 。 

公 钥 密码 学 的 数学 理论 早 在 百年 前 就 已 经 很 完备 了 ,只 是 目前 计算 机 技术 的 进步 ,将 其 
应 用 出 来 ,RSA、ElGamal 等 密码 系统 都 是 如 此 ,而 椭圆 曲线 在 代数 学 与 几何 学 上 广泛 的 研 
究 已 超出 百年 之 久 , 已 有 丰富 且 深 的 理论 ,而 椭圆 曲线 系统 第 一 次 应 用 于 密码 学 上 是 于 
1985 年 由 Koblitz 与 Miller 分 别提 出 的 ,随后 有 两 个 较 著名 的 椭圆 曲线 密码 系统 被 提出 ,一 
是 利用 ElGamal 的 加 密 法 ,二 是 Menezes-Vanstone 的 加 密 法 。 下 面 简单 地 介绍 椭圆 曲线 
和 椭圆 曲线 上 的 密码 算法 。 
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4.5.1 椭圆 曲线 的 定义 


在 实数 系 中 ,椭圆 曲线 可 定义 成 所 有 满足 方程 下 : y= 二 zx 十 art 十 b 的 点 (x,y) 所 构成 的 
集合 。 若 x 十 ax 十 b 没有 重复 的 因 式 或 
4a3s 十 2702 天 0, 则 瓦 : y? = 二 zx? 十 az 十 6b 能 定 
义 成 为 一 个 群 。 例 如 ,椭圆 曲线 y’ 二 x 一 x 
的 图 形 如 图 4.4 所 示 。 若 4a 十 2722 一 0, 则 
此 曲线 某 些 数 的 逆 元 素 将 不 存在 。 CO 

椭圆 曲线 是 连续 的 ,并 不 适合 用 于 加 -2r 
密 。 必 须 把 椭圆 曲线 变 成 离散 的 点 ,即将 椭 
圆 曲 线 定 义 在 有 限 域 上 。 因 此 密码 学 中 关 
心 的 是 有 限 域 上 的 椭圆 曲线 。 椭 圆 曲 线 密 
码 体制 中 使 用 的 变 元 和 系数 均 为 有 限 域 中 
元 素 的 椭圆 曲线 。 密 码 应 用 中 所 使 用 的 两 类 椭圆 曲线 是 定义 在 素 域 Z, 上 的 素 曲 线 (Prime 
Curve) 和 在 GF(2") 上 构造 的 二 元 曲线 。 对 于 素 域 Z 上 的 素 曲线 ,我 们 使 用 三 次 方程 ,其 
中 的 变量 和 系数 在 集合 {0,1,2,…,p 一 1} 上 取 值 ,运算 为 模 p 运算 。 对 于 在 GF(2") 上 的 二 
元 曲线 ,变量 和 系数 在 GF(2”) 内 取 值 , 且 运 算 为 GF(2”") 里 的 运算 。 

密码 系统 在 素 域 Z, 或 者 GF(2") 下 定义 为 椭圆 曲线 已: y? = 二 十 ax 十 5b, 其 中 4a3 十 
2722 天 0,a 和 4 是 小 于 p(p 为 素数 ) 的 非 负 数 。 

在 GF(2”) 下 定义 为 椭圆 曲线 已 : y 十 Xxy 二 x 十 ax 十 b, 其 中 6 闫 0。 

椭圆 曲线 有 一 个 特殊 的 点 , 记 为 0, 它 并 不 在 椭圆 曲线 上 ,此 点 称 为 无 限 远 的 点 (The 
Point at Infinity) 或 零点 (Zero Point)。 用 E(K) 表 示 在 K 上 椭圆 曲线 玉 所 有 的 点 所 构成 的 
集合 ,如 EE(Z,) 表 示 在 素 域 Z 上 椭圆 曲线 玉 所 有 的 点 所 构成 的 集合 ,而 EE(GF(2”)) 则 表示 
在 GF(2") 上 椭圆 曲线 EE 所 有 的 点 所 构成 的 集合 。 显 然 椭圆 曲线 上 的 所 有 点 E(K ) 集 合 通 
过 定义 一 个 加 法 运算 ,满足 一 定 的 运算 规则 可 以 构成 一 个 Abel 群 。 点 P= 二 (x,y) 对 XX 坐标 
轴 反 射 的 点 为 一 P 二 (xz, 一 y) ,而 称 一 P 为 点 P 的 负 点 。 若 nP 二 O, 且 nn 为 最 小 的 正 整 数 ， 
则 ?7 为 椭圆 曲线 下 上 点 己 的 阶 。 除 了 无 限 远 的 点 O 之 外 ,椭圆 曲线 瑟 上 任何 可 以 生成 所 
有 点 的 点 都 可 视 为 是 已 的 生成 数 (Generator) ,但 并 不 是 所 有 在 上 的 点 都 可 视 为 生成 数 。 
定义 于 2 的 椭圆 曲线 EE 的 所 有 点 的 个 数 #E 满足 p 十 1 一 2Vp 三 #E<p+1+2Vp。 

椭圆 曲线 上 的 两 个 相 异 的 点 相 加 与 双 们 (Doubling) 的 点 PP 的 几何 含义 如 下 。 

(1) 两 个 相 异 的 点 相 加 : 假设 P 和 Q 是 椭圆 曲线 上 两 个 相 异 的 点 ,而 且 P 不 等 于 一 Q。 
若 P 十 Q 二 R, 则 点 RR 是 经 过 PQ 两 点 的 直线 与 椭圆 曲线 相交 的 唯一 交点 的 负 点 ,如 图 4. 5 
所 示 。 

(2) 双 信 的 点 PP: 令 P+P=2P, 则 点 2P 是 经 过 PP 的 切线 与 椭圆 曲线 相交 之 唯一 交点 
的 负 点 ,如 图 4.6 所 示 。 

例 4.3 构造 一 个 在 素 域 Z, 上 的 椭圆 曲线 ,并 求 出 构成 该 椭圆 曲线 的 点 。 

选取 模 p 下 的 椭圆 曲线 y? 二 x 十 azr 十 5b, 选取 p= 二 23,4a 二 5 二 1, 且 有 44X13 十 27X1? 关 
0, 则 y= 二 x? 十 x 十 1 是 椭圆 曲线 ,其 上 的 点 EE(Zzs) 是 满足 模 p 方程 ,并 且 处 于 从 (0,0) 到 
(p,p) 的 正方 形 中 的 整数 。 表 4. 1 是 组 成 椭圆 曲线 的 点 E(2Zs) (不 包含 O 点 ) 。 


DL 
T 


4.4 椭圆 曲线 举例 
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Pe-3xt3 -3x3 
图 4.5 两 个 相 异 的 点 相 加 图 4.6 双 信 的 点 卫 


表 4.1 椭圆 曲线 的 点 马 (Z2 ) 
(0,1) (0,22) (1,7) (1,16) (3,10) (3,13) (4,0) (5,4) (5,19) 


(6,4) (6,19) (7,11) (7.12) (9,7) (9,16) (11,3) (11,20) (12,4) 
(12,19) (13.7) (13.16) (17.3) (17.,20) (18.3) (18.,20) (19,5) (19,18) 


表 4. 1 是 按照 下 面 的 计算 得 到 的 。 

(1) 针对 所 有 的 z==0,1,2,…,p 一 1, 计 算 zs 十 z 十 1(mod p), 得 到 曲线 上 的 点 (x,y)， 
其 中 Ek 

(2) 对 上 一 步骤 得 到 的 每 个 结果 确定 它 是 否 有 一 个 模 p 的 平方 根 。 如 果 没 有 , 则 该 椭 
圆 曲 线 上 没有 与 这 一 x 相对 应 的 点 。 如 果 有 ,就 有 两 个 满足 平方 根 运 算 的 y 值 (y 二 0 时 只 
有 一 个 平方 根 ,只 有 一 个 点 (x,0)), 即 y 和 yy 一 p。 从 而 (zx,y) 和 (x,y 一 p) 就 是 该 椭圆 曲线 
的 点 。 


4.5.2 椭圆 曲线 运算 规则 


1. 椭圆 曲线 在 素 域 Z 上 的 运算 规则 

说 明 一 点 ,在 椭圆 曲线 运算 中 ,大 写 参数 表示 点 ,小写 参数 表示 数值 。 

(1) 加 法 规则 

对 于 所 有 的 点 P,Q EE(Z,), 有 

©@ P+O=O+P=P,P+(—P)=0O 

@ 如 果 P=(zi,y1),Q 二 (zz ,yz) ,并且 P 隆 一 Q, 则 P 十 Q 二 (xs,y3) 由 下 列 规则 确定 : 


da 一 和 2 一 2 一 2 


ys 一 MGCzi 一 as) 一 妨 


其 中 : 
二 PQ 
2 Xl 
> 854 
人 
2y1 四 2 


@ 如 果 s,t € 2,. 则 对 所 有 的 点 P EE(Z,), 有 (s+DP=sP+1P。 
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(2) 乘法 规则 


@ 如 果 & EDZ,, 则 对 所 有 的 点 PEE(CZ,), 有 AP 一 P 十 … 十 已。 

@ 如 果 s,t E2Z,, 则 对 所 有 的 点 PEE(CZ,), 有 sCP) 一 (so)P。 

例 4.4 取 椭 圆 曲 线 y= 二 x 十 x 十 1 上 的 两 个 点 p= 二 (3,10),Q= 二 (9,7), 计 算 P 十 Q 
和 2P。 

计算 P 十 Q 过 程 如 下 : 


11 mod 23 


Xs 11?—3—9= 109=17 mod 23 
ys 11(3—(—6))—10= 89=20 mod 23 
因而 P 十 Q= (17,20)。 
计算 2P 过 程 如 下 : 


3(32) 十 1 _ 5 
2 X 10 20 4 
za 一 62 一 3 一 3 一 30 三 7 mod 23 
ys = 6(3—7)—10 34 三 12 mod 23 
因此 2P=(7,12)。 
2. 椭圆 曲线 在 GF(2") 上 的 运算 规则 
(1) 加 法 规则 
对 于 所 有 的 点 P,Q EE(GF(2”")), 有 
©@ P+O=0+P=P,P+(—P)=0O0 
@ 如 果 PP=(z,y),Q=(zs,y) ,并且 P 关 一 Q; 则 P 十 Q= (xs,y3) 
其 中 ， 


6 mod 23 


2 和 加 
(2 兰 】 十 粒 二 因 二 zi 十 z+a 让 PQ 


TX1T Xs XrT Xs 


训 半 世道 ,= 六 
TX1 


2] 十 za) 十 z 十 让 P 关 Q 
ys 一 
好 十 (a + 兰 ]m +zxs if P=Q 

图 如 果 s,t EGF(2”), 则 对 所 有 的 点 P EE(GF(2”")), 有 (s 十 P==sP 十 1P。 

(2) 乘法 规则 

@ 如 果 & EGF(2”), 则 对 所 有 的 点 P EECGF(2"”)), 有 AP 一 P 十 … 十 P。 

@ 如 果 s,t EGF(2”), 则 对 所 有 的 点 P EECGF(2")), 有 xsCP) 一 (CSOP。 

例 4.5 假设 使 用 不 可 约 多 项 式 为 f(x) 二 x 十 x 十 1 定义 有 限 域 GF(2*), 其 本 原 根 (也 
称 生成 元 ) 满 足 f(g) 二 0, 即 g* 二 g 十 1, 二 进 制 表示 为 0010。 考 虑 一 个 椭圆 曲线 y? 十 zy 一 
23 十 gsz 十 g2 上 的 两 点 P==(g’,g’),Q 二 (g,g*)。 计 算 PTQ 和 2P。 
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先 计算 g 的 乘 寡 ,然后 使 用 运算 规则 计算 P+Q 和 2P。 

可 以 计算 g 的 乘 寡 如 下 : 
g" = (0001), g! = (0010), g? = (0100), 8 = (1000) 
g* = 001 gg’ = (0110); B'S C100), g’ SSCL 
g* = (0101), g’? = (1010), g™” = (0111), g* = (1110) 
ge = sg = gr =《100l)s. a=-C0001y 

计算 P 十 Q 过 程 如 下 : 


2 :县 
Xs Eesd 2 3 十 Xi 十 Xz 十 a 
i Te Ty Xs 
9 5 \2 9 5 
| + BS 和 el 
> gtg £ 8 
一 g? 
yl 十 yz 
= a (x 十 并 ) 十 并 os 
ys ( 兰 让 涯 ] Xl Ts Ts V1 
9 5 
Fn 3 9 9 9 
一 ( po9 ) 十 gs 十 
(所 4E -i 8 
13 


3 二 到 十 (a 二 zs 十 zs 
Xl 


i 0 
Fe 再 这 


4.5.3 ”椭圆 曲线 密码 算法 


椭圆 曲线 上 所 有 的 点 外 加 一 个 叫做 无 穷 远 点 的 特殊 点 构成 的 集合 ,连同 一 个 定义 的 加 
法 运算 构成 一 个 Abel 群 。 在 等 式 &P= 二 PP 十 P 十 … 十 P= 二 Q 中 ,已 知 有 和 点 P 求 点 Q 比较 容 
易 , 反 之 已 知 点 Q 和 点 P 求 & 却 是 相当 困难 的 ,这 个 问题 称 为 椭圆 曲线 上 点 群 的 离散 对 数 
问题 CElliptic Curve Discrete Logarithm Problem, ECDLP)。 椭 圆 曲 线 密码 算法 正 是 利用 
这 个 困难 问题 而 设计 的 。 

1. ElGamal 的 椭圆 曲线 密码 算法 

(1) 密 钥 产 生 

假设 系统 公开 参数 为 一 个 椭圆 曲线 及 模 数 p 。 使 用 者 执行 : 

@ 任 选 一 个 整数 ,0 二 k 二 p。 
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@ 任 选 一 个 点 AEE, 并 计算 B=kA。 
图 公 钥 为 (A,B) , 私 钥 为 人 。 
(2) 加 密 过 程 
令 明 文 M 为 已 上 的 一 点 。 首 先 任 选 一 个 整数 ~E Z, ,然后 计算 密 文 (C,C: ) = 一 (rA， 
M 十 rB)。 密 文 为 两 个 点 。 
(3) 解密 过 程 
计算 明文 M=C; 一 kC 。 
例 4.6 选取 一 个 椭圆 曲 线 琅 : y? 二 x 十 x 十 6 及 模 数 p 为 11, 选 取 椭 圆 曲 线 上 一 个 点 
A 二 (2,7) ,以 及 一 个 秘密 整数 4 一 7, 那 么 B=7A 一 (7,2) 。 
现 加 密 明 文 M 一 (10,9) , 任 选 一 个 整数 ”一 3 ,那么 计算 密 文 为 
(Ci,Cz)= (rA ,M+rB) 三 (3(2,7),(10,9) 十 3(7,2)) 
一 ((8,3),(10,2)) 
注意 : 上 面 的 运算 是 在 模 11 下 进行 的 。 
解密 时 ,计算 明文 如 下 : 
M= C:—7C (10,2) 一 7(8,3) 
1052) — (355) (10,2) 十 (3,6) (10,9) 
2. Menezes-Vanstone 的 椭圆 曲线 密码 算法 
Menezes-Vanstone 椭圆 曲线 密码 算法 是 效率 比较 高 的 椭圆 曲线 加 密 法 ,并 且 其 明文 没 
有 限制 一 定 要 落 于 椭圆 曲线 上。 
(1) 密 钥 产生 
假设 系统 公开 参数 为 一 个 椭圆 曲线 下 及 模 数 p 。 使 用 者 执行 : 
a 任 选 一 个 整数 有 ,0 二 k 二 p。 
@ 任 选 一 个 点 AEE, 并 计算 B=kA。 
@ 公 钥 为 (A,B), 私 钥 为 k。 
(2) 加 密 过 程 
令 明 文 M 二 Cm,ms) ,明文 可 以 是 已 上 的 点 ,也 可 以 不 是 已 上 的 点 。 
@ 任 选 一 个 数 ~*E Za, 其 中 五 为 E 所 包含 的 一 个 循环 子 群 。 
@ 计算 密 文 (C, ,C: ) ,其 中 : 
Gi=rA 
Y= (yy)=rB 
Cs = (caiycz) 一 (ys Xm mod p,y: Xm: mod p) 
(3) 解密 过 程 
@ 计算 Z 一 (= ,zz ) 一 AC: 。 
@ 计算 明文 M==(czi Xxlmod psczz Xzz! mod p)。 


4.5.4 椭圆 曲线 密码 的 性 能 


公 钥 密码 体制 根据 其 所 依据 的 难题 主要 分 为 三 类 : 大 整数 分 解 问题 类 、 离 散 对 数 问题 
类 和 椭圆 曲线 离散 对 数 类 。 有 时 也 把 椭圆 曲线 离散 对 数 类 归 为 离散 对 数 类 。 椭 圆 曲 线 密码 
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体制 的 安全 性 是 建立 在 椭圆 曲线 离散 对 数 的 数学 难题 之 上 。 椭 圆 曲 线 离散 对 数 问题 被 公认 
为 要 比 整 数 分 解 问题 (RSA 方法 的 基础 ) 和 模 p 离散 对 数 问题 (DSA 算法 的 基础 ) 难 解 得 
多 . 目前 解 椭 圆 曲 线 上 的 离散 对 数 问 题 的 最 好 算法 是 Pollard Rho 方法 ,其 计算 复杂 度 上 
是 完全 指数 级 的 ,而 目前 对 于 一 般 情况 下 的 因数 分 解 的 最 好 算法 的 时 间 复 杂 度 是 亚 指 数 级 
的 。ECC 算法 在 安全 强度 、 加 密 速度 以 及 存储 空间 方面 都 有 巨大 的 优势 。 如 161 位 的 ECC 
算法 的 安全 强度 相当 于 RSA 算法 1024 位 的 强度 。 这 也 表明 ECC 算法 需要 的 存储 空间 要 
比 RSA 算法 的 小 得 多 。 


4.6 公 钥 分 配 


与 对 称 密码 体制 一 样 , 公 钥 密 码 体制 在 应 用 时 也 需要 进行 密 钥 分 配 。 但 是 , 公 钥 密码 体 
制 的 密 钥 分 配 与 对 称 密码 体制 的 密 钥 分 配 有 着 本 质 的 差别 。 由 于 对 称 密码 体制 中 只 有 一 个 
密 钥 ,因此 在 密 钥 分 配 中 必须 同时 确保 密 钥 的 秘密 性 .真实 性 和 完整 性 。 而 公开 密 钥 密 码 体 
制 中 有 两 个 密 钥 , 私 钥 由 自己 保管 ,不 需要 进行 分 配 。 但 公 钥 是 公开 的 ,如 果 不 进行 保护 , 任 
何人 都 可 以 伪造 它 。 因 此 公 钥 密码 体制 需要 对 公 钥 进行 分 配 , 但 不 需要 保证 公 钥 的 秘密 性 。 
只 需 确 保 公 钥 的 真实 性 和 完整 性 ,这 样 就 能 保证 公 钥 没有 被 攻击 者 替换 或 筑 改 。 公 钥 的 分 
配方 法 可 归纳 为 四 种 : 公开 发 布 . 公 用 目录 表 、 公 钥 授 权 和 公 角 证书。 

1. 公开 发 布 

公开 发 布 指 用 户 将 自己 的 公 钥 发 给 其 他 用 户 , 或 广播 给 某 一 团体 。 例 如 PGP(Pretty 
Good Privacy) 中 采用 了 RSA 算法 , 它 的 很 多 用 户 都 是 将 自己 的 公 钥 附加 到 消息 上 ,然后 发 
送 到 公开 (公共 ) 区 域 ,如 因特网 邮件 列表 。 

这 种 方法 虽然 简单 ,但 有 一 个 较 大 的 缺点 , 即 任何 人 都 可 伪造 这 种 公开 发 布 。 如 果 某 个 用 
户 假装 是 用 户 A 并 以 A 的 名 义 向 另 一 用 户 发 送 或 广播 自己 的 公开 钥 , 则 在 A 发 现 假冒 者 以 
前 ,这 一 假冒 者 可 解读 所 有 意欲 发 向 A 的 加 密 消息 ,而 且 假冒 者 还 能 用 伪造 的 密 钥 获得 认证 。 

2. 公用 目录 表 

公用 目录 表 指 一 个 公用 的 公 钥 动态 目录 表 , 公 用 目录 表 的 建立 、 维 护 以 及 公 钥 的 分 布 由 
某 个 可 信 的 实体 或 组 织 承 担 , 称 这 个 实体 或 组 织 为 公用 目录 的 管理 员 。 与 第 一 种 分 配方 法 
相 比 ,这 种 方法 的 安全 性 更 高 。 该 方法 有 以 下 一 些 组 成 部 分 。 

(1) 管理 员 为 每 个 用 户 在 目录 表 中 建立 一 个 目录 ,目录 中 有 两 个 数据 项 : 一 是 用 户 名 ， 
二 是 用 户 的 公开 钥 。 

(2) 每 一 用 户 都 亲自 或 以 某 种 安全 的 认证 通信 在 管理 者 那里 为 自己 的 公开 钥 注 册 。 

(3) 用 户 可 以 随时 用 新 密 钥 替换 现 有 的 密 钥 。 这 可 能 由 于 自己 的 公 钥 用 过 的 次 数 太 多 
或 由 于 与 公 钥 相关 的 私 钥 已 泄露 。 

(4) 管理 员 定期 公布 或 定期 更 新 目录 表 。 例如 , 像 电 话 号 码 本 一 样 公布 目录 表 或 在 发 
行 量 很 大 的 报纸 上 公布 目录 表 的 更 新 。 

(5) 用 户 可 通过 电子 手段 访问 目录 表 。 此 时 ,从 管理 员 到 用 户 必须 有 安全 的 认证 通信 。 

这 种 方案 的 安全 性 明显 高 于 公开 发 布 的 安全 性 ,但 仍 易 受到 攻击 。 如 果 敌 手 成 功 地 获 
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得 管理 员 的 私人 密 钥 ,就 可 伪造 一 个 公 钥 目录 表 , 以 后 既 可 以 假冒 任 一 用 户 又 可 以 监听 发 往 
任 一 用 户 的 消息 。 

3. 公 钥 授权 

与 公用 目录 表 类 似 , 假 定 有 一 个 公 钥 管理 机 构 来 为 用 户 建 立 、 维 护 动态 的 公 钥 目录 ,但 
同时 对 系统 提出 以 下 要 求 , 即 每 个 用 户 都 可 靠 地 知道 管理 机 构 的 公 钥 ,而 只 有 管理 机 构 自 己 
知道 相应 的 私 钥 。 图 4. 7 是 典型 的 公 钥 分 配方 案 , 在 这 个 分 配方 案 中 完成 了 两 个 功能 ,一 是 
获得 需要 的 公 钥 ,二 是 双方 相互 认证 。 其 公 钥 分 配 步 又 如 下 。 


公 钥 管理 
机 构 


(2) EkrmlKUslRequestllTime] 
(5) EkrsslKUallRequestllTime,] 


(1) RequestllTimey (4) RequestlITime> 


(3) ErusLIDaIIN'] 


(7) ExuslN2+1] 
4.7 公 角 分配 方案 


(1) A 向 公 钥 管理 机 构 发 送 一 个 带 时 间 戳 的 消息 。 消 息 中 有 获取 B 的 当前 公 钥 的 
请 求 。 

(2) 公 钥 管理 机 构 对 A 的 请 求 作出 应 答 。 应 答 由 一 个 消息 表示 ,该 消息 由 管理 机 构 用 
自己 的 私 钥 KR 加密, 因此 A 能 用 公 钥 管理 机 构 的 公 钥 解密 ,并 使 A 相信 这 个 消息 的 确 
是 来 源 于 公 钥 管理 机 构 。 这 条 消息 中 包括 以 下 几 项 内 容 。 

。B 的 公 钥 KU,A 可 用 它 对 将 发 往 B 的 消息 加 密 。 

。 A 的 请 求 ,用 于 A 验证 收 到 的 应 答 的 确 是 对 相应 请 求 的 应 答 , 且 还 能 验证 自己 最 初 

发 出 的 请 求 在 被 公 钥 管理 机 构 收 到 以 前 是 否 被 算 改 。 

。 原始 的 时 间 惟 Timei ,以 使 A 相信 公 钥 管理 机 构 发 来 的 消息 不 是 一 个 旧 消 息 , 因 此 

消息 中 的 公 钥 的 确 是 B 当前 的 公 钥 。 

(3) A 用 B 的 公开 密 钥 对 一 个 消息 加 密 后 发 往 B, 这 个 消息 有 两 个 数据 项 : 一 是 A 的 
身份 ID ,二 是 一 个 临时 交互 号 Ni ,用 于 唯一 地 标识 这 一 过 程 。 

(4) B 以 相同 方式 从 公 钥 管理 机 构 获 取 A 的 公 钥 (与 步骤 1.2 类 似 )。 此 时 ,A 和 B 都 
已 安全 地 得 到 了 对 方 的 公 钥 ,所 以 可 进行 保密 通信 。 

下 面 两 步 是 双方 互相 认证 。 

(5) B 用 对 一 个 消息 加 密 后 发 往 A, 该 消息 的 数据 项 有 A 的 临时 交互 号 Ni 和 B 产生 
的 一 个 临时 交互 号 N,。 因 为 只 有 B 能 解密 (3) 的 消息 ,所 以 A 收 到 的 消息 中 的 Ni 可 使 其 
相信 通信 的 另 一 方 的 确 是 B。 

(6) A 用 B 的 公 钥 对 Ns 十 1 加 密 后 返回 给 B, 可 使 B 相信 通信 的 另 一 方 的 确 是 A。 在 
这 个 过 程 中 ,如 果 A 用 B 的 公 钥 只 对 N; 加 密 返 回 给 B,B 不 能 确信 通信 的 另 一 方 是 A, 因 
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为 任何 人 可 以 重 放 该 消息 。 

以 上 过 程 共 发 送 了 7 个 消息 ,其 中 前 4 个 消息 用 于 获取 对 方 的 公开 密 钥 。 用 户 得 到 对 
方 的 公开 密 钥 后 保存 起 来 可 供 以 后 使 用 ,这 样 就 不 必 再 发 送 前 4 个 消息 了 。 然 而 还 必须 定 
期 地 通过 公 钥 管理 机 构 获 取 通 信 对 方 的 公 钥 ,以 免 对 方 的 公 钥 更 新 后 无 法 保证 当前 的 通信 。 

4. 公 角 证书 

公 钥 授权 由 公 钥 管理 机 构 分 配 公 钥 存在 一 些 不 足 , 由 于 每 一 用 户 要 想 和 他 人 联系 都 要 
求助 于 公 钥 管理 机 构 , 所 以 管理 机 构 有 可 能 成 为 系统 的 瓶颈 ,而 且 由 管理 机 构 维护 的 公 钥 目 
录 表 也 易 被 攻击 者 算 改 。 

分 配 公 钥 的 另 一 方法 是 公 钥 证 书 ,用 户 通过 交换 公 钥 证 书 来 互相 交换 自己 的 公 钥 。 公 
钥 证 书 类 似 人 们 使 用 的 纸 类 证 书 , 如 驾驶 执照 .毕业 证 等 ,两 者 都 包括 拥有 者 的 属性 ,可 以 验 
证 。 证 书 一 般 由 第 三 方 发 行 ,这 个 第 三 方 称 为 证 书 权 威 中 心 (Certificate Authority,CA) 。 
证 书 由 CA 签名 表明 证 书 的 拥有 者 所 具有 的 公 钥 等 信息 。 证 书 由 CA 用 它 的 私 钥 签 名 ,其 
他 用 户 可 以 用 CA 的 公 钥 验证 证 书 的 真 假 。 

使 用 公 钥 证 书 分 配 公 钥 过 程 非常 简单 。 事 先 由 CA 对 用 户 的 证 书签 名 ,证 书 中 包含 有 
与 该 用 户 的 私 钥 相对 应 的 公 钥 及 用 户 的 身份 等 信息 。 所 有 的 数据 项 经 CA 用 自己 的 私 钥 签 
名 后 就 形成 证 书 。 用 户 可 将 自己 的 公 钥 通过 公 钥 证 书 发 给 另 一 用 户 ,接收 方 可 用 CA 的 公 
钥 对 证 书 加 以 验证 ,这 样 接收 方 就 能 知道 发 送 方 的 公 钥 ,由 于 证 书 是 由 CA 私 钥 加 密 ,任何 
其 他 人 不 能 伪造 该 证 书 。 

假设 用 户 A 的 证 书 中 的 内 容 只 包括 用 户 身份 IDA、A 的 公 钥 PUA 和 签名 时 间 Time， 
CA 用 自己 的 私 钥 PRcA 签 名 得 到 A 的 证 书 : 

CA = Eee (IDa || PUA | Time) 
接收 方 可 以 用 CA 的 公 钥 PUca 对 证 书 进行 验证 , 即 
Deru (Ca) = Deuu (Epres (IDa || PUA || Time)) = (IDa || PUA || Time) 
因为 只 有 用 CA 的 公 钥 才能 解读 证 书 , 接 收 方 从 而 验证 了 


证 书 的 确 是 由 CA 签发 的 ,并 且 也 获得 了 发 送 方 的 身份 和 公开 于 
密 钥 。Time 是 为 接收 方 保证 了 收 到 的 证 书 不 是 一 个 旧 证 书 , 用 怜 名 算 站 算法 
以 防止 发 送 方 或 敌 方 重 放 。 法 标识 3 
从 上 面 的 过 程 我 们 可 以 看 到 ,使 用 公 钥 证 书 分 配 公 钥 时 ,用 [一 和 到 关 
户 只 需要 事先 从 CA 那里 获得 证 书 , 就 可 以 互相 交换 证 书 得 到 ”有效期 (一 诡 让 日期 
对 方 的 公 钥 , 因 此 不 像 公 钥 授 权 那 样 每 次 都 要 求助 于 公 钥 管理 | 证书 丰 体 名 
机 构 。 主体 公 |- 于--- 
实际 上 证 书 的 内 容 不 仅仅 包括 身份 、 公 钥 和 签名 时 间 等 信 鲍 信 和 | 一 窗 钥 ~- 
息 。 图 4.8 是 广泛 使 用 的 证 书 标准 X. 509 v3, 它 在 大 部 分 的 网 发 行商 唯一 标识 
络 安全 应 用 中 都 有 使 用 ,X. 509 v3 证 书 中 各 域 的 语义 如 下 。 人 
。 版 本 : 区 分 证 书 的 不 同 的 版 本 ,默认 设置 为 1。 如果 存 [人 
在 发 行商 唯一 标识 或 者 主体 唯一 标识 , 则 版 本 号 为 2; 。 签名 和 | 参数 
如 果 存 在 一 个 或 者 多 个 扩展 , 则 版 本 号 为 3。 人 


。 证 书 序 列 号 : 一 个 整数 ,由 证 书 颁 发 者 分 配 的 本 证 书 的 。 图 4.8 X.509 v3 证 书 
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唯一 标识 符 。 

。 签名 算法 标识 : 带 参数 的 .用 于 给 证 书签 名 的 算法 ,由 于 此 信息 在 证 书 尾部 的 “ 签 
名 ” 域 中 还 会 出 现 ,这 里 很 少 含 该 信息 。 

。 发 行商 名 字 : X. 509 中 认证 中 心 CA 的 名 字 。 

。 有 效 期 : 包括 证 书 的 生效 日 期 和 终止 日 期 。 

。 证 书 主体 名 : 获得 证 书 的 用 户 名 。 

。 证 书 主体 公 钥 信息 : 主体 的 公 钥 以 及 将 被 使 用 的 密 钥 的 算法 标识 , 带 有 相关 的 
参数 。 

。 发 行商 唯一 标识 : 由 于 X. 509 的 名 字 被 许多 不 同 的 实体 引用 ,因此 用 可 选 位 串 唯一 
标识 认证 中 心 。 

。 证 书 主体 唯一 标识 : 由 于 X. 509 的 名 字 被 许多 不 同 的 实体 引用 ,因此 用 可 选 位 串 唯 
一 标识 证 书 主体 。 

。 扩展 : 一 个 或 者 多 个 扩展 域 集 ,扩展 域 是 版 本 3 中 增加 的 。 

。 签名 : 覆盖 证 书 的 所 有 其 他 域 , 以 及 其 他 域 被 CA 私 钥 加 密 后 的 Hash 代码 ,以 及 签 
名 算法 标识 。 


4.7 利用 公 钥 密码 分 配对 称 密 钥 


由 于 公 钥 算法 速度 很 慢 , 在 通信 中 一 般 不 使 用 公 钥 加 密 消息 ,而 是 使 用 会 话 钥 ( 对 称 密 
码 密 钥 ) 。 因 此 一 般 的 做 法 是 用 会 话 钥 加 密 消 息 ,用 公 钥 来 实现 会 话 钥 的 分 配 。 用 公 钥 分 配 
对 称 密 钥 比 第 3 章 介绍 的 对 称 密 钥 的 分 配方 法 简单 得 多 。 

假设 A 和 B 之 间 需 要 一 个 会 话 钥 进行 秘密 通信 ,一 种 简单 的 会 话 钥 分 配方 法 如 下 : 

A 产生 一 对 公私 钥 PU,。 和 PR, ,将 公 钥 PU, 和 自己 的 身份 标识 ID。 传 给 B。B 产生 一 
个 会 话 钥 K,, 用 A 的 公 钥 PU, 加 密 后 Epu, (K,) 传 给 A, 由 于 只 有 A 有 私 钥 PR,, 所 以 A 能 
够 得 到 会 话 钥 K,。 随 后 双方 用 会 话 钥 K, 加 密 双 方 需 要 传输 的 消息 。 

上 面 的 会 话 钥 分 配方 法 能 够 防止 窃听 攻击 .但 易 受 到 中 [DA =-[ 6] 
间 人 攻击 (Man-in-the-Middle Attack)。 中 间 人 攻击 是 一 种 | | 
间接 的 攻击 方法 ,如 图 4.9 所 示 。 假 设 A 和 B 是 需要 通信 的 C 
双方 ,C 则 是 “中 间 人 ”。A 和 B 都 以 为 将 消息 传送 给 对 方 , 没 
有 意识 到 由 一 个 中 间 人 C 在 转发 消息 。C 不 仅 可 以 窃听 A、 
B 的 通信 还 可 以 对 信息 进行 自 改 再 传 给 对 方 。 当 然 C 也 可 以 获得 A 和 B 之 间 通 信 的 敏感 
信息 。 

因此 上 面 介 绍 的 简单 会 话 钥 分 配方 案 很 容易 被 中 间 人 攻击 。 中 间 人 C 攻击 过 程 如 下 : 

(1) A 一 C: A 的 公 钥 PU。 和 身份 标识 IDA 。 

(2) CB: C 的 公 钥 PU. 和 身份 标识 IDe 。 

(3) BC: Epvu,(K,),C 因此 知道 K,。 

(4) C 一 A: Eru (K.). 

在 上 面 的 过 程 中 ,中 间 人 也 知道 K,, 因 此 中 间 人 C 可 以 知道 A 和 B 之 间 传 输 的 所 有 


图 4.9 中 间 人 攻击 示意 图 
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秘密 。 

上 面 的 会 话 钥 分 配 过 程 中 缺少 双方 之 间 的 相互 认证 ,因此 让 中 间 人 C 有 可 乘 之 机 。 下 
面 是 一 种 改进 方法 。 假 设 A 和 了 事先 可 以 得 到 对 方 的 公 钥 ,会 话 钥 分 配 过 程 如 下 : 

(1) A 一 B: Epu, (TDa | Ni)。 

(2) B>A: Eru (Ni || Nz)。 

(3) A 一 B: Er, (Nz 十 1) 。 

(4) B>A: Epv, (Epr, (K.))。 

首先 A 用 B 的 公 钥 加 密 自己 的 身份 IDA 和 临时 交互 号 Ni 传送 给 B, 只 有 B 能 够 打开 
这 个 消息 。 随 后 B 用 A 的 公 钥 加 密 临 时 交互 号 Ni 和 Ns 传 给 A, 也 只 有 A 可 以 打开 该 消 
息 , 由 于 人 A 同时 收 到 了 Ni ,所 以 可 以 认证 对 方 确实 是 B。B 传 N, 的 目的 是 想 认证 A。 当 人 A 
用 B 的 公 钥 加 密 N; 十 1 传 给 BB 后 ,B 也 可 以 认证 对 方 一 定 是 A。 最 后 一 步 由 B 产 生 一 
话 钥 K,, 先 用 自己 的 私 钥 PR 加密, 再 用 A 的 公 钥 加 密 , 这 样 做 的 目的 是 既 可 以 保密 又 能 
认证 。 


4.8 Diffie-Hellman 密 钥 交换 


Diffie-Hellman 密 钥 交换 是 W. Diffie 和 M. Hellman 于 1976 年 提出 的 第 一 个 公开 密 钥 
算法 ,已 在 很 多 商业 产品 中 得 以 应 用 。 算 法 的 唯一 目的 是 使 得 两 个 用 户 能 够 安全 地 交换 密 
钥 , 得 到 一 个 共享 的 会 话 密 钥 ,算法 本 身 不 能 用 于 加 、 解 密 。 该 算法 的 安全 性 基于 求 离散 对 
数 的 困难 性 。 

假定 p 是 一 个 素数 ,a 是 其 本 原 根 , 将 p 和 a 人 公开。 假设 A 和 B 之 间 希 望 交换 会 话 钥 。 

用 户 A: 

(1) 随机 地 选取 一 个 大 的 随机 整数 x ,将 其 保密 ,其 中 ,0 三 xa 夺 p 一 2。 

(2) 计算 公开 量 ya 二 a** mod pp ,将 其 公开 。 

用 户 B: 

(1) 随机 地 选取 一 个 大 的 随机 整数 za ,将 其 保密 ,其 中 ,0 二 xs 三 p 一 2。 

(2) 计算 公开 量 ye 一 wa mod p, 将 其 公开 。 

用 户 A 计算 : Ky modp 

用 户 B 计算 : 开 一 yi mod p 

用 户 A 和 用 户 BB 各 自 计算 的 KK 即 是 他 们 共享 的 会 话 钥 。 显 然 A 和 B 各 自 计 算 的 值 相 
等 ,因为 

yw modp= yi modp=ass modp 

例 4.7 假定 在 用 户 Alice 和 Bob 之 间 交 换 密 钥 。 选 择 素 数 p 二 353 以 及 本 原 根 a==3 
(可 由 一 方 选择 后 发 给 对 方 ) 。 

Alice 和 Bob 各 自选 择 随机 秘密 数 。 

Alice 选择 x4 二 97 ,Bob 选择 zs 一 233 

Alice 和 Bob 分 别 计算 公开 数 。 

Alice 计算 : yA 二 3”mod 353 一 40 
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Bob 计算 : ys 二 3”3mod 353 一 248 

双方 各 自 计 算 共 享 的 会 话 钥 。 

Alice 计算: K 二 ys* mod 353 二 248”mod 353 一 160 

Bob 计算 : K 二 yw mod 353 二 40*3mod 353 一 160 

Diffie-Hellman 密 钥 交换 协议 很 容易 受到 中 间 人 攻击 : 一 个 主动 的 窃听 者 C 可 能 截取 
A 发 给 B 的 消息 以 及 B 发 给 A 的 消息 ,他 用 自己 的 消息 蔡 换 这 些 消息 ,并 分 别 与 A 和 B 完 
成 一 个 Diffie-Hellman 密 钥 交换 ,而且 还 维持 了 一 种 假 相 一 一 A 和 B 直接 进行 了 通信 。 密 
钥 交换 协议 完毕 后 ,A 实际 上 和 C 建立 了 一 个 会 话 密 钥 ,B 和 C 建立 了 一 个 会 话 密 钥 。 当 
A 加 密 一 个 消息 发 送 给 B 时 ,C 能 解密 它 而 B 不 能。 类 似 地 , 当 B 加 密 一 个 消息 发 送 给 A 
时 ,C 能 解密 它 而 A 不 能 。 防 止 Diffie-Hellman 密 钥 交换 协议 中 间 人 攻击 的 一 个 方法 是 让 
A 和 B 分 别 对 消息 签名 。 


4.9 关键 术语 


公 钥 密码 体制 (Public Key Cryptosystem) 

非 对 称 密码 体制 (Asymmetric Cryptosystem) 
公 钥 (Public Key) 

私 钥 (Private Key) 

公共 模 数 攻击 (Common Modulus Attack) 

椭圆 曲线 密码 体制 (Elliptic Curve Cryptosystem,ECC) 
证 书 权 威 中 心 (Certificate Authority,CA) 

中 间 人 攻击 (Man-in-the-Middle Attack) 


4.10 习 题 


4.1 在 使 用 RSA 的 公 钥 体制 中 ,已 截获 发 给 某 用 户 的 密 文 为 c= 二 10, 该 用 户 的 公 钥 
e 二 5,n 二 35, 那 么 明文 m 等 于 多 少 ? 为 什么 能 根据 公 钥 可 以 破解 密 文 ? 
4.2 利用 RSA 算法 运算 ,如 果 p= 二 11,g= 二 13,e= 二 103, 对 明文 3 进行 加 密 。 求 4 及 
密 文 。 
4.3 在 RSA 体制 中 , 某 用 户 的 公 钥 e=31,” 一 3599 ,那么 该 用 户 的 私 钥 等 于 多 少 ? 
4.4 ”在 RSA 体制 中 ,假设 某 用 户 的 公 钥 是 3533,p 二 101,g 二 113, 现 对 明文 9726 加 密 
和 解密 。 

4.5 在 ElGamal 密码 体制 中 ,假设 Alice 想 要 将 消息 m= 二 1299 传送 给 Bob。Alice 任 
选 一 个 大 素数 p 为 2579, 取 g 为 101, 选 择 保密 的 私 钥 xz 为 237。 

(1) 计算 公 钥 y。 

(2) 求 密 文 。 

(3) 写 出 解密 过 程 。 
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4.6 ”选取 模 p 为 11 下 的 椭圆 曲线 y* 二 x 十 x 十 6, 确 定 E(Zu) 上 的 所 有 点 。 

4.7 ” 取 实 数 域 李 圆 曲线 yy 二 x 一 36x 上 的 两 个 点 p 二 (一 3,9),Q 二 (12,36) ,计算 P 十 Q 
和 2P。 

4.8 利用 ElGamal 的 椭圆 曲线 密码 算法 , 设 椭圆 曲线 是 y: 二 zx? 一 x 十 118。 椭圆 曲线 
上 一 个 点 A 二 (0,376) ,假设 A 选择 一 个 秘密 整数 有 二 7。 求 : 

(1) A 的 公开 密 钥 。 

(2) 发 送 方 B 欲 发 送 消 息 (562,201) ,选择 随机 数 -二 386。 求 密 文 。 

(3) 给 出 A 从 密 文 恢复 消息 的 计算 过 程 。 

4.9 公 钥 密码 一 般 用 于 传输 对 称 密 钥 , 现 假设 A 和 B 之 间 需 要 传输 数据 ,A 产生 一 个 
会 话 钥 ,请 回答 下 面 问题 : 

(1) 在 事前 通信 发 信者 A 应 该 得 到 什么 密 钥 ? 

(2) 会 话 钥 的 作用 是 什么 ? 

(3) 写 出 一 个 密 钥 分 配 协议 ,并 分 析 其 安全 性 。 

4.10 在 Diffie-Hellman 方法 中 ,公共 素数 p= 二 11, 本 原 根 a 二 2。 

(1) 如 果 用 户 A 的 公 钥 Ys 二 9, 则 A 的 私 钥 X 为 多 少 ? 

(2) 如 果 用 户 B 的 公 钥 Ys 二 3, 则 共享 密 钥 开 为 多 少 ? 

4.11 两 个 用 户 A 和 BB 使 用 Diffie-Hellman 密 钥 交换 协议 来 交换 密 钥 ,假设 公共 素数 
了 为 71, 本 原 根 a 为 7。A 和 BB 分 别 选择 秘密 数 为 5 和 12。 求 共享 的 密 钥 。 

4.12 编写 RSA 加 密 和 人 解密 程序 。 
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本 章 导读 

后 消息 认证 是 用 来 防止 主动 攻击 的 重要 技术 ,用 以 保证 消息 的 完整 性 。 常 见 的 消息 认 
证 密码 技术 包括 消息 认证 码 (MAC) 和 安全 散 列 函数 。 另 外 ,消息 加 密 也 可 以 提供 一 
种 形式 的 认证 。 

如 MAC 是 需要 使 用 密 钥 的 算法 ,其 输入 是 可 变 长 度 的 消息 和 密 钥 ,其 输出 是 一 个 定 长 
的 认证 码 。 只 有 拥有 密 钥 的 消息 发 送 方 和 接收 方 可 以 生成 消息 认证 码 和 验证 消息 
的 完整 性 。 

后 散 列 函 数 和 MAC 算法 类 似 ,也 是 一 个 单 向 函数 ,但 是 无 需 密 钥 ,其 输入 是 可 变 长 度 
的 消息 ,其 输出 是 固定 长 度 的 散 列 值 ,也 叫 消 息 摘 要 。 

如 数字 签名 是 基于 公 角 密码 技术 采用 的 认证 技术 。 它 和 手写 签名 类 似 , 使 得 消息 的 发 
送 者 可 以 使 用 自己 的 私 钥 为 初始 消息 生成 一 个 有 签名 作用 的 签名 码 ,接收 者 接收 到 
初始 消息 和 相应 的 签名 码 , 可 以 使 用 消息 发 送 者 的 公 钥 对 该 消息 的 签名 码 进行 验 
证 。 数 字 签 名 可 以 保证 消息 的 来 源 和 消息 本 身 的 完整 性 。 

扣 使 用 数字 签名 ,通常 需要 和 散 列 函数 配合 使 用 。 


5.1 认 证 


加 密 通 常用 于 保密 ,对 某 个 信息 的 加 密 操作 使 得 其 内 容 甚至 包括 信息 的 存在 ,对 于 未 授 
权 的 人 而 言 是 保密 的 、 安 全 的 。 但 是 ,在 某 些 情况 下 ,完整 性 比 保密 性 更 重要 。 例 如 ,在 某 个 
医院 的 医疗 系统 中 检索 到 的 病人 的 医疗 记录 ,或 者 银行 系统 中 检索 到 的 某 个 人 的 信用 记录 ， 
检索 到 的 这 些 信息 和 所 存储 的 正本 是 否 一 致 非常 重要 。 在 传统 的 或 者 没有 考虑 完整 性 的 系 
统 中 ,文件 的 组 成 部 分 或 者 消息 的 组 成 部 分 , 即 每 个 字 节 位 或 者 字符 都 是 彼此 独立 的 ,由 于 
缺乏 彼此 的 绑 定 ,使 得 攻击 者 对 于 信息 的 修改 无 法 被 发 现 。 在 目前 的 电子 商务 系统 中 的 各 
种 应 用 中 ,这 类 问题 的 后 果 更 是 严重 。 能 否 为 文件 或 者 网 络 中 通信 的 消息 打上 一 个 标签 , 当 
文件 或 消息 出 现 了 任何 的 改变 ,即便 只 修改 了 一 位 信息 ,我 们 都 可 以 从 标签 和 信息 的 关系 上 
知道 有 内 容 被 修改 了 。 这 种 想法 和 中 世纪 在 信封 上 使 用 蜡 封 类 似 。 在 密码 技术 中 ,提供 这 
样 的 蜡 封 技术 或 标签 技术 的 就 是 为 信息 提供 一 种 认证 ,这 样 的 蜡 封 或 者 标签 在 密码 技术 中 
称 为 认证 码 , 如 后 文中 讨论 的 哈 希 值 、 校 验 和 等 都 是 某 种 形式 的 认证 码 。 

同样 的 ,在 网 络 通信 环境 中 ,保密 的 目的 是 防止 攻击 者 破译 系统 中 的 机 密 信 息 , 但 在 大 
多 数 网 络 应 用 中 , 仅 提 供 保密 性 是 远 远 不 够 的 。 网 络 安全 的 威胁 来 自 于 两 个 方面 : 一 是 被 
动 攻击 ,攻击 者 只 是 通过 侦 听 和 截取 等 手段 被 动 的 获取 数据 ,并 不 对 数据 进行 修改 ; 一 是 主 
动 攻击 ,攻击 者 通过 伪造 、 重 放 、 自 改 、 改 变 顺序 等 手段 改变 数据 。 认 证 则 是 防止 主动 攻击 的 
重要 技术 , 它 对 于 开放 环境 中 的 各 种 信息 系统 的 安全 性 有 重要 作用 ,可 以 防止 如 下 一 些 攻击 。 
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。 伪装: 攻击 者 生成 一 个 消息 并 声称 这 条 消息 是 来 自 某 合法 实体 ,或 者 攻击 者 冒充 消 
息 接 收 方向 消息 发 送 方 发 送 的 关于 收 到 或 未 收 到 消息 的 欺诈 应 答 。 
。 内 容 修改 : 对 消息 内 容 的 修改 ,包括 插入 、 删 除 、 转 换 和 修改 。 
。 顺序 修改 : 对 通信 双方 消息 顺序 的 修改 ,包括 插入 、 删 除 和 重新 排序 。 
。 计 时 修改 : 对 消息 的 延迟 和 重 放 。 在 面向 连接 的 应 用 中 ,攻击 者 可 能 延迟 或 重 放 以 
前 某 合 法 会 话 中 的 消息 序列 ,也 可 能 会 延迟 或 重 放 是 消息 序列 中 的 某 一 条 消息 。 
认证 的 目的 主要 有 两 个 : 第 一 ,验证 消息 的 发 送 者 是 合法 的 ,不 是 冒充 的 ,这 称 为 实体 
认证 ,包括 对 信 源 、 信 宿 等 的 认证 和 识别 ; 第 二 ,验证 信息 本 身 的 完整 性 ,这 称 为 消息 认证 ， 
验证 数据 在 传送 或 存储 过 程 中 没有 被 自 改 、 重 放 或 延迟 等 。 
保密 和 认证 是 信息 系统 安全 的 两 个 重要 方面 ,但 它们 又 是 不 同 的 。 认 证 不 能 自然 地 提 
供 保密 性 ,而 保密 性 也 不 能 自然 地 提供 认证 功能 。 但 从 某 个 层面 上 来 说 ,我 们 也 可 以 说 保密 
性 提供 了 某 种 认证 功能 ,因为 攻击 者 如 果 无 法 获得 用 于 加 密 的 密 钥 ,而 消息 接收 方 收 到 了 密 
文 , 并 使 用 密 钥 进行 解密 ,同时 可 以 确认 解密 后 得 到 的 信息 是 正确 的 ,如 根据 解密 后 的 信息 
的 含义 ,在 这 种 情况 下 ,整个 密 文 就 提供 了 认证 功能 。 但 如 果 发 送 者 发 送 的 信息 是 无 意义 的 
字符 ,消息 接收 者 即便 正确 解密 了 ,也 无 法 通过 字符 的 含义 来 判定 所 收 到 的 消息 是 否 是 正 
确 的 。 
因此 ,如 果 考 虑 加 密 函 数 的 某 种 认证 功能 ,我 们 考虑 的 可 用 于 提供 认证 功能 的 认证 码 的 
函数 则 可 以 分 为 以 下 三 类 。 
。 加 密 函 数 : 使 用 消息 发 送 方 和 消息 接收 方 共享 的 密 钥 对 整个 消息 进行 加 密 , 则 整个 


消息 的 密 文 作为 认证 符 。 
。 消息 认证 码 (Message Authentication Code): 它 是 消息 和 密 钥 的 函数 ,产生 定 长 度 
值 ,该 值 作为 消息 的 认证 符 。 
。 散 列 函数 : 它 是 将 任意 长 的 消息 映射 为 定 长 的 hash 值 的 函数 ,以 该 hash 值 作为 认 
一 个 基本 的 认证 系统 模型 如 图 5. 1 所 示 。 


攻击 者 


信 源 | ~[ 认 证 符 生成 | 一 一 二 [验证 认证 符 | ~| 信 宿 
下 


密 钥 


5.1 基本 的 认证 系统 模型 


5.2 消息 认证 码 


消息 认证 码 CMAC) 是 一 种 使 用 密 钥 的 认证 技术 , 它 利 用 密 钥 来 生成 一 个 固定 长 度 的 短 
数据 块 , 并 将 该 数据 块 附加 在 消息 之 后 。 在 这 种 方法 中 假定 通信 双方 A 和 B 共享 密 钥 天。 
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若 A 向 B 发 送 消息 M 时 , 则 A 使 用 消息 M 和 密 钥 K ,计算 MAC=CCK,M) ,其 中 : 

M 一 输入 消息 ,可 变 长 ; 

C 二 MAC 函数 ; 

天 一 共享 的 密 钥 ; 

MAC= 消 息 认 证 码 。 
消息 认证 码 MAC 为 消息 M 的 认证 符 ,MAC 也 称 为 密码 校 验 和 。 

如 图 5. 2 所 示 ,发 送 方 将 消息 M 和 MAC 将 一 起 被 发 送 给 接收 方 。 接 收 方 收 到 消息 
后 ,假设 为 M' ,使 用 相同 的 密 钥 K 进行 计算 得 出 新 的 MAC =CCK,M ) ,比较 MAC 和 所 
收 到 的 MAC。 假 设 双 方 共享 的 密 钥 没有 泄露 , 则 如 果 比 较 计算 得 出 的 MAC' 和 收 到 的 
MAC 的 结果 两 者 是 相同 的 话 , 则 可 以 认为 : 


发 送 者 A 接收 者 B 

(1) 接收 方 可 以 相信 消息 未 被 修改 。 因 为 若 攻 击 者 算 改 了 消息 ,他 必须 同时 相应 地 修 
改 MAC 值 。 而 我 们 已 假定 攻击 者 不 知道 密 钥 ,所 以 他 不 知道 应 如 何 改变 MAC 才能 使 其 与 
修改 后 的 消息 相 一 致 。 

(2) 接收 方 可 以 相信 消息 来 自 真正 的 发 送 方 。 因 为 其 他 各 方 均 不 知道 密 钥 , 他 们 不 能 
产生 具有 正确 MAC 的 消息 。 

(3) 如 果 消 息 中 含有 消息 序列 号 ,那么 接收 方 可 以 相信 消息 的 顺序 是 正确 的 ,因为 攻击 
者 无 法 成 功 地 修改 序列 号 。 

从 使 用 密 钥 上 看 ,MAC 函数 与 加 密 函 数 类 似 . 需 要 生成 MAC 方 和 验证 MAC 方 共享 一 
个 密 钥 ,但 它们 又 存在 本 质 的 区 别 , 区 别 之 一 为 MAC 算法 不 要 求 可 道 性 而 加 密 算法 必须 是 
可 道 的 。 一 般 而 言 ,MAC 函数 是 多 对 一 函数 .其 定义 域 由 任意 长 的 消息 组 成 ,而 值 域 由 所 
有 可 能 的 MAC 和 密 钥 组 成 。 若 使 用 位 长 的 MAC, 则 有 2” 个 可 能 的 MAC, 而 有 mm 条 可 
能 的 消息 ,其 中 六 2" ,而 且 若 密 钥 长 为 A, 则 有 2* 种 可 能 的 密 钥 。 

例如 ,假定 使 用 100 位 的 消息 和 10 位 的 MAC ,那么 总 共有 2 不 同 的 消息 ,但 仅 有 22 
种 不 同 的 MAC。 所 以 平均 而 言 , 同 一 MAC 可 以 由 22%/22 条 不 同 的 消息 产生 。 若 使 用 的 
密 钥 长 为 5 位 , 则 从 消息 集合 到 MAC 值 的 集合 有 2 一 32 种 不 同 的 映射 。 可 见 密 钥 的 位 数 
太 短 ,很 容易 通过 穷 举 进行 攻击 ,但 是 位 数 足 够 长 , 则 可 以 保证 其 安全 性 。 

图 5. 2 给 出 的 消息 认证 码 的 使 用 只 是 对 传送 消息 提供 单纯 的 认证 性 。 它 还 可 以 和 加 密 
函数 一 起 提供 消息 认证 和 保密 性 。 如 图 5. 3 所 示 ,发 送 方 在 加 密 消 息 M 之 前 , 先 计算 M 的 
认证 码 , 然 后 使 用 加 密 密 钥 将 消息 及 其 认证 码 一 并 加 密 ; 接收 方 收 到 后 , 先 解密 得 到 消息 及 
其 认证 码 , 再 验证 解密 得 到 的 消息 和 验证 码 是 否 匹配 ,如 果 匹 配 则 表示 消息 在 传输 中 没有 被 
改动 。 


5.2 消息 认证 码 的 使 用 
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也 
Kl 
5.3 结合 加 密 函 数 的 消息 认证 码 的 使 用 


5.2.1 MAC 的 安全 要 求 


MAC 中 使 用 了 密 钥 , 这 点 和 对 称 密 钥 加 密 一 样 , 如 果 密 钥 泄露 了 或 者 被 攻击 了 , 则 
MAC 的 安全 性 则 无 法 保证 。 在 基于 算法 的 加 密 函 数 中 ,攻击 者 可 以 尝试 所 有 可 能 的 密 钥 
以 进行 穷 举 攻击 ,一 般 对 A 位 的 密 钥 , 穷 举 攻击 需要 2“ 2 步 。 对 于 仅 依赖 于 密 文 的 攻击 , 若 
给 定 密 文 C, 攻 击 者 要 对 所 有 可 能 的 K; 计算 P; 二 Dk,(C), 直 到 产生 的 某 P; 具有 适当 的 明 
文 结构 为 止 (前 提 是 这 样 的 明文 结构 是 可 以 判断 的 )。 

MAC 函数 是 多 对 一 函数 ,这 就 意味 消息 的 取 值 空间 比 MAC 的 取 值 空间 大 , 则 一 定 存 
在 着 不 同 的 消息 会 对 于 相同 的 MAC。 假设 MAC 所 使 用 的 密 钥 位 数 为 k, 计 算 所 得 的 
MAC 位 数 为 n。 车 kn, 即 假定 密 钥 位 数 比 MAC 长 , 则 对 满足 MACi 王 Ck, (M1) 的 Mi 和 
MAC, ,密码 分 析 者 要 对 所 有 可 能 的 密 钥 值 K; 计算 MAC; 二 Ck, (M1) ,那么 至 少 有 一 个 密 钥 
会 使 得 MAC; 一 MAC!。 因 为 k 个 密 钥 总 共 会 产生 2: 个 MAC, 但 只 有 2" 二 2* 个 不 同 的 
MAC 值 , 所 以 有 不 同 密 钥 都 会 产生 正确 的 MAC ,而 攻击 者 却 不 知 其 中 哪 一 个 是 正确 的 密 钥 。 
平均 来 说 ,有 2/2 一 2 和 7 个 密 钥 会 产生 正确 的 MAC, 因 此 攻击 者 必须 重复 下 述 攻击 。 

@ 第 一 轮 

。 给 定 Mi ,MAC 一 CrkCMi ) 。 

。 对 所 有 2* 个 密 钥 判断 MAC; 二 Cxk, (Mi)。 

。 匹配 数 之 2%"”。 

@ 第 二 轮 

。 给 定 M: ,MAC: 一 Crk CMz ) 。 

。 对 循环 1 中 找到 的 2 "个 密 钥 判断 MAC; 一 Cr CMz ) 。 

。 匹配 数 之 2%?”。 

攻击 者 可 以 按 此 方法 不 断 对 密 钥 进行 测试 ,直到 将 匹配 数 缩写 到 足够 小 的 范围 。 平 均 
来 讲 , 车 k= 二 aXn, 则 需 a 次 循环 。 例 如 ,如 果 使 用 80 位 的 密 钥 和 长 为 32 位 的 MAC ,那么 
第 一 次 循环 会 得 到 约 2* 个 可 能 的 密 钥 , 第 二 次 循环 会 得 到 约 2* 个 可 能 的 密 钥 ,第 三 次 循环 
则 得 到 唯一 一 个 密 钥 ,这 个 密 钥 就 是 发 送 方 所 使 用 的 密 钥 。 这 样 看 来 , 若 密 钥 的 长 度 小 于 或 
等 于 MAC 的 长 度 , 则 很 可 能 第 一 次 循环 中 就 得 到 一 个 密 钥 。 

由 此 可 见 , 如 果 密 钥 足 够 长 ,用 穷 举 方法 来 确定 MAC 的 密 钥 不 是 一 件 容易 的 事 。 

当然 ,以 上 穷 举 攻 击 是 建立 在 算法 安全 强度 可 信 的 前 提 下 。 针 对 不 同 的 MAC 算法 , 攻 
击 者 可 能 不 需要 使 用 穷 举 攻击 即 可 找到 密 钥 。 攻 击 者 针对 下 面 的 MAC 算法 , 则 不 需要 使 
用 穷 举 攻击 即 可 获得 密 钥 信息 。 

设 消息 M==CXi | Xs | … | X), 即 由 64 位 分 组 X; 连接 而 成 。 定 义 


第 5 章 消息 认证 与 数字 签名 ii 


ACOM) = Xi DXB…ODX, 
CiM) = Ek[ACMD)] 
其 中 旨 是 异 或 (XOR) 运 算 , 加 密 算 法 是 电码 本 方式 实现 的 DES 算法 , 则 密 钥 长 为 56 位 ， 
MAC 长 为 64 位 。 若 攻击 者 获取 {M | CsCM)} ,并 使 用 穷 举 攻击 , 则 确定 K 需 执行 至 少 25 
次 加 密 , 但 是 攻击 者 可 以 用 任何 期 望 的 Y 至 Y,_1 替 代 Xi 至 X,_1, 用 Y。 替代 XX,, 来 进行 
攻击 ,其 中 Y。 是 如 下 计算 的 。 
Y, = YDBY,®B-…BY, DAM) 
攻击 者 可 以 将 至 Yi 与 原来 的 MAC 连接 成 一 个 新 的 消息 M ,接收 方 收 到 CM ,Ci (M)) 
时 ,由 于 A(M’)==Y 了 1 名 Ys 名 … 甸 Y= 二 A(M), 因 此 CeCM) 王 Ek[ACM')], 接 受 者 会 认为 该 
消息 是 真实 。 用 这 种 办 法 ,攻击 者 可 以 随意 插入 任意 的 长 为 64X (m 一 了 位 的 消息 。 
因此 ,一 个 安全 的 MAC 函数 应 具有 下 列 性 质 。 
Q@ 若 攻击 者 知道 M 和 Ci(M), 则 他 构造 满足 Ci CM ) = 一 CeCM) 的 消息 M' 在 计算 上 是 
不 可 行 的 。 
@ CeCM) 应 是 均匀 分 布 的 , 即 对 任何 随机 选择 的 消息 M 和 M“ ,CeCM) 王 CeCM ) 的 概 
率 是 2 ,其 中 是 MAC 的 位 数 。 
@ 设 M 是 M 的 某 个 已 知 的 变换 , 即 M' = COM) , 则 CeCM) 王 CeCM ) 的 概率 为 2。 


5.2.2 基于 DES 的 消息 认证 码 


数据 认证 算法 (FIPS PUB 113) 是 使 用 最 广泛 的 MAC 算法 之 一 , 它 也 是 一 个 ANSI 标 
准 (X9. 17) 。 该 算法 建立 在 DES 算 法 之 上 ,利用 了 密 文 链接 模式 (CBC) 对 消息 进行 加 密 处 
理 。 该 算法 在 实际 中 应 用 很 广泛 ,特别 是 在 银行 系统 中 。 

如 图 5.4 所 示 ,数据 认证 算法 取 初 始 值 为 0, 这 个 初始 值 没有 实际 的 意义 ,只 是 用 于 第 一 次 计 
算 ,需要 认证 的 消息 被 划分 成 64 位 的 分 组 Di ,D;,…, Dw ,车 最 后 分 组 不 足 64 位 , 则 在 其 后 填 0 
直至 成 为 64 位 的 分 组 。 利 用 DES 加 密 算法 E 和 密 钥 ,计算 认证 码 的 过 程 如 图 5.4 所 示 。 


Di(64 们 ) [22x64 们 Di1(64 位 ) Dax(64 位 ) 

K(56 位 ) 一 -| DES 加 密 | K DES 加 密 | … ”KkK 一 [DES 加 密 | K DES 加 密 
1 | 1 
O164 位 ) [ocx64 们 )- On Ow 


图 5.4 数据 认证 算法 
O, 一 ExkCDi) 

O: = Ex(LD;: BD OJ) 
O: = Ex ([Ds ®D OJ) 


ON = Ex (LDy ©®D Ow-1]) 
最 后 一 个 分 组 的 加 密 结果 不 输出 , 取 其 最 左边 的 ”位 作为 认证 码 。 
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5.3 Hash 负数 


Hash 函数 (也 称 散 列 函数 或 杂凑 函数 ) 是 将 任意 长 的 输入 消息 作为 输入 生成 一 个 固定 
长 的 输出 串 的 函数 , 即 h 二 HCM)。 这 个 输出 串 hh 称 为 该 消息 的 散 列 值 ( 或 消息 摘要 ,或 杂 
凑 值 ) 。 散 列 函 数 通常 和 一 个 安全 的 Hash 函数 互 应 该 至 少 满足 以 下 几 个 条 件 。 

(1) 五 可 以 应 用 于 任意 长 度 的 数据 块 , 产 生 固定 长 度 的 散 列 值 。 

(2) 对 每 一 个 给 定 的 输入 mm, 计算 及 (m4) 是 很 容易 的 。 

(3) 给 定 Hash 函数 的 描述 ,对 于 给 定 的 散 列 值 有 ,找到 满足 态 (m)==h 的 m 在 计算 上 
是 不 可 行 的 。 

(4) 给 定 Hash 函数 的 描述 ,对 于 给 定 的 消息 mu ,找到 满足 mxs 关 mm 且 Hxms) 二 Hm) 
的 ms 在 计算 上 是 不 可 行 的 。 

(5) 找到 任何 满足 态 (m1)= 二 日 (ms) 且 ma 关 ms 的 消息 对 (mm ,ms) 在 计算 上 是 不 可 
行 的 。 

条 件 (1) 和 (2) 指 得 的 是 Hash 函数 的 “ 单 向 (One-Way) 特 性 ,条 件 (3) 和 (4) 是 对 使 用 
散 列 值 的 数字 签名 方法 所 作 的 安全 保障 。 否 则 攻击 者 可 以 由 已 知 的 明文 及 相关 数字 签名 任 
意 伪造 对 其 他 明文 的 数字 签名 。 条 件 (5) 的 主要 作用 是 防止 后 文 将 要 提 到 的 “生日 攻击 ”。 
通常 我 们 称 满足 条 件 (1) 一 (4) 的 散 列 函 数 为 “ 弱 散 列 函 数 ”, 若 能 同时 满足 条 件 (5), 则 称 其 
为 “ 强 散 列 函数 ”。 

Hash 函数 主要 用 于 完整 性 校 验 和 提高 数字 签名 的 有 效 性 ,目前 已 有 很 多 方案 。 这 些 
算法 都 是 伪 随 机 函数 。 早 在 1978 年 ,Rabin 就 利用 DES 算法 ,使 用 密 文 分 组 链接 (CBC) 方 
式 , 提 出 一 种 简单 快速 的 散 列 函数 ,方法 如 下 : 

将 明文 M 分 成 固定 长 度 的 64 位 的 分 组 : ,ms，… ,mi ,使 用 DES 的 CBC 操作 模式 ， 
对 每 个 明文 分 组 进行 加 密 , 令 ho 二 初始 值 ,h; 二 ELh;-1j], 最 后 散 列 值 为 hi ,这 个 方法 和 
5. 2.2 节 中 的 基于 DES 的 MAC 算法 类 似 , 但 是 不 同 的 是 该 算法 中 的 加 密 没有 使 用 任何 密 
钥 。 但 需要 指出 的 是 ,使 用 Rabin 散 列 函数 的 数字 签名 是 不 安全 的 ,已 经 发 现 可 以 在 有 限 的 
计算 范围 内 ,不 通过 获得 签名 私 钥 的 方法 即 可 实现 伪造 签名 。 

好 的 散 列 函数 的 输出 以 不 可 辨别 的 方式 依赖 于 输入 。 任 何 输入 串 中 单个 位 的 变化 ,将 
会 导致 输出 位 串 中 大 约 一 半 的 位 发 生变 化 。 其 处 理 思想 是 先 要 将 明文 分 成 固定 长 度 的 明文 
分 组 ,再 对 每 个 分 组 做 相同 的 处 理 . 比 较 有 名 的 有 MD5、Ripend160、SHA 和 Whirlpool 等 算 
法 。 所 有 的 散 列 函数 都 具有 图 5. 5 中 的 处 理 结构 ,这 种 结构 称 为 迭代 Hash 函数 , 它 是 由 
Merkle 提出 的 。 其 中 的 算法 即 是 散 列 函 数 中 对 分 组 进行 迭代 处 理 的 压缩 函数 。 散 列 函 
数 重复 使 用 压缩 函数 f. 它 的 输入 是 前 一 步 得 出 的 位 输出 ( 称 为 链接 值 ) 和 一 个 4b 位 消息 
分 组 ,输出 为 一 个 位 分 组 。 链 接 值 的 初始 值 由 算法 在 开始 时 指定 ,其 终 值 即 为 散 列 值 。 这 
样 ,一 般 结构 的 Hash 函数 可 归纳 如 下 : 

CV。o = IV = nn 位 初始 值 
CVi= CCV YN) 1<i<<L 
H(M)= CV 
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其 中 Hash 函数 的 输入 为 消息 M, 经 填充 后 的 消息 分 成 工 个 分 组 ,分 别 是 Yo ,Yi ,…,YL_1。 


ho hn Yi 
b. b b 
IV=n 
- nm n de, n n Ss CV 
Ch CV CV 


7 初始 值 CF 链接 值 第 i 个 输入 分 组 广 压 缩 算法 
二 输入 分 组 数 天 散 列 值 的 位 长 b= 输入 分 组 的 位 长 


5.5 Hash 函数 的 一 般 结构 


Hash 函数 和 MAC 函数 不 同 , 不 需要 使 用 密 钥 ,因此 也 觉得 了 Hash 函数 无 法 像 图 5. 1 
中 所 示 的 那样 单独 提供 对 消息 的 认证 ,通常 它 和 数字 签名 结合 使 用 来 提供 认证 性 。 在 网 络 
安全 通信 中 ,Hash 函数 和 对 称 密码 、 非 对 称 密码 结合 使 用 提供 不 同 的 安全 服务 。 图 5.6 给 


出 了 几 种 基本 应 用 。 
发 送 者 A 接收 者 B 


一 全 一 
| 


发 送 者 A 接收 者 B 


了 
比较 


天 天 
四 
发 送 者 A 接收 者 B 
-中 人 _ -| |-@ 
M M 

Ea 本 天 本 

人 -上 一 一 比较 
© 


图 5.6 Hash 的 基本 应 用 


图 5.6(a) 给 出 的 Hash 函数 和 数字 签名 的 典型 使 用 。 对 消息 M 的 数字 签名 通常 不 是 
直接 对 消息 进行 计算 ,而 是 先 使 用 Hash 函数 得 到 消息 的 散 列 值 , 再 使 用 发 送 方 的 签名 私 钥 
PR。 对 代表 消息 的 散 列 值 进行 签名 ,这 样 既 可 以 提供 消息 的 认证 性 ,又 可 以 保证 效率 。 
图 5.6(b) 所 给 出 的 消息 认证 方式 和 MAC 有 点 类 似 ,因为 Hash 函数 不 使 用 密 钥 ,如 果 直 接 
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对 消息 进行 计算 散 列 值 , 并 和 消息 进行 连接 传送 , 则 攻击 者 很 容易 自 改 消息 并 相应 的 重新 计 
算 散 列 值 。 因 此 ,对 于 计算 出 来 的 散 列 值 使 用 密 钥 加 密 的 方法 则 可 以 避免 ,攻击 者 即便 自 改 
了 消息 ,也 因为 没有 相应 的 加 密 密 钥 伪造 消息 散 列 值 的 密 文 。 图 5. 6(c) 中 提供 的 安全 服务 
是 保密 性 和 认证 性 。 除 此 之 外 ,根据 应 用 需求 提供 ,Hash 函数 还 可 以 和 其 他 密码 函数 结合 
使 用 提供 不 同 的 应 用 模式 。 


5.3.1 散 列 函数 的 安全 要 求 


将 5. 3 节 中 给 出 的 安全 Hash 函数 需要 满足 的 后 面 三 个 条 件 重新 描述 如 下 , 即 是 Hash 
函数 的 安全 要 求 。 

(1) 单 向 性 : 对 任何 给 定 的 散 列 码 久 ,找到 满足 H(z) 二 hh 的 xz 在 计算 上 是 不 可 行 的 。 

(2) 抗 弱 碰 撞 性 : 对 任何 给 定 的 消息 ,找到 满足 y 隆 + 且 昌 (zx) 二 H(y) 的 yy 在 计算 上 
是 不 可 行 的 。 

(3) 抗 强 碰撞 性 : 找到 任何 满足 H(zx) 二 HH(y) 的 偶 对 (x,y) 在 计算 上 是 不 可 行 的 。 

在 图 5.5 所 示 的 一 般 结构 的 Hash 函数 中 ,其 输入 消息 被 划分 成 工 个 固定 长 度 的 分 组 ， 
每 一 分 组 长 为 0 位 ,最 后 一 个 分 组 不 足 2 位 时 需 填充 为 2 位 ,最 后 一 个 分 组 包含 输入 的 总 长 
度 。 由 于 输入 中 包含 长 度 , 所 以 攻击 者 必须 找 出 具有 相同 散 列 值 且 长 度 相等 的 两 条 消息 ,或 
者 找 出 两 条 长 度 不 等 但 加 入 消息 长 度 信息 后 散 列 值 相同 的 消息 ,从 而 增加 了 攻击 的 难度 。 
Merkle 和 Damgard 发 现 , 如 果 压 缩 函 数 具 有 抗 碰撞 能 力 , 那 么 迭代 Hash 函数 也 具有 抗 碰 
撞 能 力 , 因 此 Hash 函数 常 使 用 上 述 迭 代 结 构 , 这 种 结构 可 用 于 对 任意 长 度 的 消息 产生 安全 
Hash 函数 。 

1. 生日 攻击 (Birthday Attack) 

如 果 攻 击 者 希望 伪造 消息 M 的 签名 来 欺骗 接收 者 , 则 他 需要 找到 满足 HCM'’)==HCM) 
的 M' 来 替代 M。 对 于 生成 64 位 散 列 值 的 散 列 函数 ,平均 需要 尝试 2 次 以 找到 M'。 但 是 
建立 在 生日 悖 论 上 的 生日 攻击 法 , 则 会 更 有 效 。 

对 于 上 述 问题 换 种 说 法 : 假设 一 个 函数 有 个 函数 值 , 且 已 知 一 个 函数 值 五 (z)。 任 选 
k 个 任意 数 作 为 函数 的 输入 值 , 则 & 必须 为 多 大 才能 保证 至 少 找到 一 个 输入 值 y 且 H(zx)= 
HH(y) 的 概率 大 于 0.5? 

对 于 任意 的 y, 能 够 满足 H(z) 二 H(y) 的 概率 是 1/n, 反 之 ,满足 有 H(zx) 隆 HH(y) 的 概率 
为 1 一 1/n。 对 于 所 选 的 个 任意 的 输入 值 y 都 没有 一 个 满足 互 Cz) 王 瑟 (y) 的 概率 则 是 
(1 一 1/n)*。 这 样 ,至 少 有 一 个 y 满足 及 (zx) 二 H(y) 的 概率 是 1 一 (1 一 1/n)*。 

二 项 式 定 理 可 描述 如 下 : 

Ds k(k— 1)(k— 


上 k(k— 
(1—a) 1 二 21 31 


当 a 趋 近 0 时 ,(1 一 a)* 趋 近 1 一 ka, 因 此 至 少 有 一 个 y 满足 甩 (x) 二 甩 (y) 的 概率 约 为 
1 一 (一 1/n)* 守 1 一 (1 一 k/n) 二 k/n。 当 有 这 n/2 时 ,这 个 概率 将 超过 0. 5。 

若 散 列 值 为 m 位 , 则 可 能 有 2” 个 散 列 值 ,使 上 述 概率 为 0. 5 的 为 二 2w? 。 即 对 于 
生成 64 位 散 列 值 的 散 列 函数 而 言 ,攻击 者 至 少 需要 尝试 2 对 明文 ,才能 有 大 约 0.5 的 成 功 
概率 。 这 个 结果 似乎 表明 选择 64 位 的 散 列 函数 是 安全 的 ,但 是 事实 并 非 如 此 。Yuval 提出 
的 “生日 悖 论 ? 对 于 之 前 提 到 的 Rabin 散 列 函数 的 数字 签名 攻击 ,只 需要 2” 次 的 运算 。 


2)0s 十 … 
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在 讨论 Yuval 的 方法 之 前 , 先 来 解 一 FT“ 生日 悖 论 ” 的 数学 背景 。 我们 可 以 如 下 描述 这 
类 问题 : & 为 多 大 时 ,在 & 个 人 中 至 少 找到 两 个 人 的 生日 相同 的 概率 大 于 0. 5? 不 考虑 二 月 
二 十 九 日 并 且 假 定 每 个 生日 出 现 的 概率 相同 。 

首先 个 人 的 生日 排列 的 总 数目 是 365*。 这 样 ,k 个 人 有 不 同 生 日 的 排列 数 为 


3651 
(365 CO—k)! 


因此 ,个 人 有 不 同 生日 的 概率 为 不 重复 的 排列 数 除 以 总 数目 ,得 到 


3651 
(365 —k)1(365)° 


则 ,k 个 人 中 ,至 少 找到 两 个 人 同日 出 生 的 概率 是 
P(365,k) = 1—Q(365,k)=1 


N= 365X 364X.… Xx (365—k 二 1) 


Q(365,k) = 


3651 
(365 一 &)1(365) 

当 &=100 时 ,P(365,100) 王 0. 9999997 ,这 意味 着 只 有 一 个 重复 的 概率 接近 于 百 分 百 。 如 
果 只 考虑 同日 出 生 的 概率 超过 0. 5 时 , 则 根据 P(365,23) 二 0.5037,k 只 需要 为 23 。 

Yuval 的 生日 攻击 法 描述 如 下 。 

(1) 合法 的 签名 方 对 于 其 认为 合法 的 消息 愿意 使 用 自己 的 私 钥 对 该 消息 生成 的 zz 位 的 
散 列 值 进行 数字 签名 。 

(2) 攻击 者 为 了 伪造 一 份 有 (1) 中 的 签名 者 签名 的 消息 ,首先 产生 一 份 签 名 方 将 会 同意 
签名 的 消息 ,再 产生 出 该 消息 的 2": 种 不 同 的 变化 , 且 每 一 种 变化 表达 相同 的 意义 (如 : 在 
文字 中 加 入 空格 .换行 字符 ) 。 然 后 ,攻击 者 再 伪造 一 条 具有 不 同意 义 的 新 的 消息 ,并 产生 出 
该 伪造 消息 的 2"? 种 变化 。 

(3) 攻击 者 在 上 述 两 个 消息 集合 中 找 出 可 以 产生 相同 散 列 值 的 一 对 消息 。 根 据 “ 生 日 
悖 论 " 理 论 ,能 找到 这 样 一 对 消息 的 概率 是 非常 大 的 。 如 果 找 不 到 这 样 的 消息 ,攻击 者 再 产 
生 一 条 有 效 的 消息 和 伪造 的 消息 ,并 增加 每 组 中 的 明文 数目 ,直至 成 功 为 止 。 

(4) 攻击 者 用 第 一 组 中 找到 的 明文 提供 给 签名 方 要求 签 名 ,这样 ,这 个 签名 就 可 以 被 用 
来 伪造 第 二 组 中 找到 的 明文 的 数字 签名 。 这 样 , 即 使 攻击 者 不 知道 签名 私 钥 也 能 伪造 签名 。 

生日 攻击 隐 含 着 Hash 值 长 度 的 存在 一 个 安全 界 值 , 一 个 40 位 长 的 散 列 值 是 很 不 安全 
的 , 仅 需要 约 一 百 万 次 随机 Hash 计算 可 至 少 以 0. 5 的 概率 找到 一 个 碰撞 。 为 了 抵抗 生日 
攻击 ,通常 建议 消息 散 列 值 长 度 至 少 需要 为 128 位 。SHA-1 最 初 选择 为 160 位 也 是 出 于 这 
样 的 考虑 。 

2. 中 间 相 遇 攻 击 法 (Meet in the Middle Attack) 

中 间 相 中 攻击 时 生日 攻击 的 一 种 变形 , 它 不 比较 散 列 值 ,而 是 比较 处 理 链 中 的 中 间 变 
量 。 这 种 攻击 主要 适用 于 攻击 具有 分 组 链接 结构 的 Hash 函数 。 其 基本 原理 为 : 将 消息 分 
成 两 部 分 ,对 伪造 消息 的 第 一 部 分 从 初始 值 开始 逐步 向 中 间 阶 段 产 生 六 个 变量 ; 对 伪造 消 
息 的 第 二 部 分 从 Hash 结果 开始 逐步 退回 中 间 阶 段 产生 xr; 个 变量 。 在 中 间 阶 段 有 一 个 匹 
配 的 概率 与 生日 攻击 成 功 的 概率 一 样 。 

这 种 攻击 方法 让 攻击 者 可 以 仅 根据 已 知 的 明文 及 其 数字 签名 ,来 任意 伪造 其 他 明文 的 
数字 签名 。 

(1) 根据 已 知 数字 签名 的 明文 . 先 产生 散 列 函数 值 h。 
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(2) 再 根据 意图 伪造 签名 的 明文 ,将 其 分 成 每 个 64 位 长 的 明文 分 组 Qi ,Q: ,…,Qn-y。 
Hash 函数 的 压缩 算法 为 hi 二 Eo[h;_1],1 二 iN 一 2。 

(3) 任意 产生 2” 个 不 同 的 ,对 每 个 计算 Ex[Lhn-:]。 同 样 的 ,任意 产生 2 个 不 同 
的 Y, 对 每 个 Y 计 算 Dy[G],D 是 相对 应 E 的 解密 函数 。 

(4) 根据 “生日 悖 论 ", 有 很 大 的 概率 可 以 找到 一 堆 X 及 Y 满足 Ex[hn-sj] 二 Dy[G]。 

(5) 如 果 找 到 了 这 样 的 X 和 了 ,攻击 者 重新 构造 一 个 明文 : Qi,Q: ,…,'Qw-:,X,Y。 这 
个 新 的 明文 的 散 列 值 也 为 ,因此 攻击 者 可 以 使 用 已 知 的 数字 签名 为 这 个 构造 的 明文 伪造 
新 的 明文 的 签名 。 


5.3.2 MDS 


MD5(Message-Digest Algorithm 5) 是 由 Ronald L. Rivest(RSA 算法 中 的 R) 在 20 世 
纪 90 年 代 初 开发 出 来 的 ,经 MD2、MD3 和 MD4 发 展 而 来 。 它 比 MD4 复杂 ,但 设计 思想 类 
似 , 同 样 生 成 一 个 128 位 的 信息 散 列 值 。 其 中 ,MD2 是 为 8 位 机 器 做 过 设计 优化 的 ,而 
MD4 和 MD5 却 是 面向 32 位 的 计算 机 。 

Osrschot 和 Wiener 曾 为 了 攻击 MD5 ,使 用 穷 举 攻击 搜寻 碰撞 的 函数 ,并 耗费 一 千 万 美 
元 设计 了 一 台 碰 撞 搜 寻 机 器 , 它 能 在 24 天 内 找到 一 个 碰撞 。 但 即便 如 此 ,从 1991 年 起 的 十 
多 年 里 ,并 没有 出 现 替 代 MD5 的 算法 或 MD6 ,并且 ,由 于 MD5 算法 的 使 用 无 需 支付 任何 专 
利 费 , 其 中 实际 中 的 应 用 非常 广泛 。 直 到 2004 年 8 月 ,在 美国 召开 的 国际 密码 学 会 议 
(Crypto”2004) 上 ,王小云 教授 给 出 破解 MD5、HAVAL-128、MD4 和 RIPEMD 算法 的 报 
告 。 她 给 出 了 一 个 非常 高 效 的 寻找 碰撞 的 方法 ,可 以 在 数 个 小 时 内 找到 MD5 的 碰撞 。 

MDS 算法 的 描述 

MD5 的 输入 可 以 是 任意 长 度 的 消息 ,其 输出 是 128 位 的 消息 散 列 值 。 由 于 MD5 的 设 
计 是 针对 32 位 处 理 器 的 ,因此 MD5 内 地 所 有 基本 运算 都 是 针对 32 位 运算 单元 的 。 其 算法 
主要 过 程 如 下 。 

(1) 填充 消息 : 任意 长 度 的 消息 首先 需要 进行 填充 处 理 , 使 得 填充 后 的 消息 总 长 度 与 
448 模 512 同 余 ( 即 填充 后 的 消息 长 度 三 448 mod 512)。 填 充 的 方法 是 在 消息 后 面 添加 一 
位 1 ,后续 都 是 0。 

(2) 添加 原始 消息 长 度 : 在 填充 后 的 消息 后 面 再 添加 一 个 64 位 的 二 进 制 整数 表示 填充 
前 原始 消息 的 长 度 。 这 时 经 过 处 理 后 的 消息 长 度 正好 是 512 位 的 倍数 。 

(3) 初始 值 (IV) 的 初始 化 : MD5 中 有 4 个 32 位 缓冲 区 ,用 (A,B,C,D) 表 示 , 用 来 存储 
散 列 计算 的 中 间 结 果 和 最 终结 果 , 缓 冲 区 中 的 值 被 称 为 链接 变量 (Chaining Variable)。 首 
先 将 其 分 别 初始 化 为 A 王 0x01234567,B 王 0x89abcdef.C 一 0xfedcba98,D 王 0x76543210 。 
这 些 值 以 高 端 格 式 存储 , 即 字 节 的 最 高 有 效 位 存 于 低地 址 字 节 位 置 。 

(4) 以 512 位 的 分 组 为 单位 对 消息 进行 循环 散 列 计算 ,如 图 5.7 所 示 , 经 过 处 理 的 消 
息 ,以 512 位 为 单位 ,分 成 N 个 分 组 ,为 Ye, ,…,Yw_i。MD5 对 每 个 分 组 进行 散 列 处 理 。 
每 一 轮 的 处 理会 对 (A,B.C,D) 进 行 更 新 。 

(5) 输出 散 列 值 : 所 有 的 N 个 分 组 消息 都 处 理 完 后 ,最 后 一 轮 得 到 的 4 个 缓冲 区 的 值 
即 为 整个 消息 的 散 列 值 。 


入 
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”原始 消息 长 
填充 位 度 (64 位 ) 
一 x yA 
7 NX512 位 ee Ws 
消息 100…00| 工 
一 512 位 一 一 一 512 位 一 一 | 一 512 位 一 一 一 512 位 ee 
nn | … » 多 bv 
512 
12. 立 的 
了 各 Pi 


CV 散 列 值 


图 5.7 MDSs 主要 处 理 过 程 
在 第 4 步 中 的 循环 散 列 计算 共有 4 轮 ( 如 图 5. 8 所 示 ) ,每 轮 循环 都 很 相似 ,进行 16 次 


操作 。 在 第 一 轮 的 第 一 个 步骤 开始 处 理 时 ,将 A、B 和 C.D 的 值 保存 在 男 外 的 单元 ,假设 为 


AA、BB、CC 和 DD 中 。 然 后 每 次 操作 对 ABC 和 > Gi 


D 中 的 其 中 三 个 作 一 次 非 线 性 函数 运算 ,然后 将 所 1512 L128 
得 结果 加 上 第 4 个 变量 、 消 息 的 一 个 子 分 组 和 一 个 
常数 , 青 将 所 得 结果 向 右 环 移 一 个 不 定 的 数 。 最 后 FEAB,C,D.MIK].s li] 


得 到 的 结果 再 加 上 之 前 保存 在 AA、BB、CC 或 DD 
中 的 值 ,这 里 的 “十 ” 指 的 是 mod 2 的 模 加 运输 。 得 
到 的 新 的 4 个 32 值 作为 A、B、C 和 D 的 新 的 值 。 然 
后 继续 使 用 下 一 分 组 进行 运算 ,最 后 的 输出 的 A、B、 
C 和 D 的 级 联 即 是 整个 消息 的 128 位 散 列 值 。 
每 次 操作 中 用 到 的 4 个 非 线性 函数 为 
F(X,Y,2Z) = (X&Y) | (( 一 X)&Z) | 中 1 
人 CRY = (XEZY | (YE 2 站 中 出 让 
天 三 区 
T= | 
(& 是 与 ,| 是 或 ,一 是 非 ,是 异 或 ) 
将 每 次 处 理 的 512 位 的 消息 分 组 再 分 成 32 位 ”图 5.8 MDS 算法 一 次 循环 的 处 理 过 程 
一 组 , 共 16 组 ,表示 为 Mi ,k 二 0.…,15, 则 在 每 次 都 4 轮 运算 中 的 计算 方法 是 
FF(A,B,C,D,M;,s,ti) 表示 A=B+((A+(F(B,C,D) +M 二) < 和 >) 
GG(A,B,C,D,Mj,s,ti) 表示 A 二 B+((A++(G(B,C,D) 二 Mj 二 4) << 委 >) 
HH(A,B,C,D,Mj,ssti) 表示 A=B+((A++(H(B,C,D) 十 Mj; 十 #1) << 委 >) 
I1(A,B,C,D,M;,s,ti) 表示 A 二 B+ 二 +((A++(I(B,C,D) 十 Mj 二 ti) < 和 和 >) 
其 中 -< 站: 表示 循环 左 移 * 位 。 则 4 轮 ( 每 轮 16 步 , 共 64 步 ) 的 操作 为 
@O 第 一 轮 
FF(CA,B,C,D,M .7,0xd76aa478) 
FFCD,A,B,C,Mi ,12,0xe8c7b756) 


GGC4.B.C.D,MTR,ss[] 


GGC4.B.C.D,MTA],ss[] 


TN(A.B,C.DMIK],s,t[i 


128 


Ch 
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FF(C,D,A,B,M;,,17,0x242070db) 
FF(B,C.,D,A,M;:,22,0xclbdceee) 
FF(A,B,C,D,M,,7,0xf57cOfaf) 
FF(D,A,B,C,M: ,12,0x4787c62a) 
FF(C,D,A,B,Ms ,17,0xa8304613) 
FF(B,C,D,A,M:,22,0x{d469501) 
FF(A,B,C,D,Ms,7,0x698098d8) 
FF(D,A,B,C,M, ,12,0x8b44f7af) 
FF(C,D,A,B,M ,17,0xffff5bb1) 
FF(B,C,D,A,M,22,0x895cd7be) 
FF(A,B,C,D,M';,7,0x6b901122) 
FF(D,A.,B,C,M's .12,0x{d987193) 
FF(C,D,A,B,M .17,0xa679438e) 
FF(B,C,D,A,M's ,22,0x49b40821) 
@ 第 二 轮 
GG(A,B,C,D,Mi,5,0xf6l1e2562) 
GGCD,A,B,C,M6,9,0xc040b340) 
GG(C,D,A,B,M,14,0x265e5a51) 
GG(B,C,D,A,M, ,20,0xe9b6c7aa) 
GG(A,B,C,D,Ms: ,5,0xd62f105d) 
GG(D,A,B.C,Mio ,9,0x02441453) 
GG(C,D,A.,B,M's ,14,0xd8ale681) 
GG(B,C,D,A,M, ,20,0xe7d3fbc8) 
GG(A,B,C,D,M, ,5,0x2lelcde6) 
GG(D,A,B,C,M ,9,0xc33707d6) 
GG(C,D,A,B,M; ,14,0xf{4d50d87) 
GG(B,C,D,A,Ms,20,0x455al4ed) 
GG(A,B,C,D,M';,5,0xa9e3e905) 
GG(D,A,B,C,M, .9,0xfcefa3f8) 
GG(C,D,A,B,M', ,14,0x676f02d9) 
GG(B,C,D,A,M';,20,0x8d2a4c8a) 
@ 第 三 轮 

HH(A,B,C,D,Ms ,4.,0xfffa3942) 
HH(D,A,B,C,Ms ,11,0x8771{681) 
HH(C,D,A,B,M' ,16,0x6d9d6122) 
HH(B,C,D,A,M ,23,0xfde5380c) 
HH(A,B,C,D,M' .4,0xa4beea44) 
HH(D,A,B,C,M ,11,0x4bdecfa9) 
HH(C,D.A.B,M:; ,16,0xf6bb4b60) 
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HH(B,C,D,A,M ,23,0xbebfbc70) 
HH(A,B,C,D,Mis ,4,0x289b7ec6) 
五 万 (D,A,B,C,Mo ,11,0xeaal127fa) 
HH(C,D,A,B,M;: ,16,0xd4ef3085) 
HH(B,C,D,A,Ms ,23,0x04881d05) 
HH(A,B,C,D,M, ,4,0xd9d4d039) 
HH(D,A,B,C,M' ,11,0xe6db99e5) 
HH(C,D,A,B,M's ,16,0xlfa27cf8) 
HH(B,C,D,A,M;,,23,0xc4ac5665) 
@ 第 四 轮 
TIT(A,B,C,D,Mo,6,0xf4292244) 
TT(D,A,B,C,M ,10,0x432aff97) 
TT(C,D,A,B,Mi ,15,0xab9423a7) 
II(B,C,D,A,Ms:,21,0xfc93a039) 
II(A,B,C,D,M'i; ,6,0x655b59c3) 
II(D,A.,B,C,M, ,10,0x8f0ccc92) 
II(C,D,A,B,Mio ,15,0xffeff47d) 
II(B,C,D,A,Mi',21,0x85845dd1) 
II(A,B,C,D,Ms ,6,0x6fa87e4f) 
II(D,A.,B,C,M's ,10,0xfe2ce6e0) 
II(C,D,A,B,Ms ,15,0xa3014314) 
II(B,C,D,A,M';,21,0x4e0811al) 
II(A,B,C,D,M, ,6,0x{7537e82) 
II(D,A,B,C,M ,10,0xbd3af235) 
II(C,D,A,B,M; ,15,0x2ad7d2bb) 
II(B,C,D,A,M, ,21,0xeb86d391) 
常数 4 可 以 如 下 选择 : 在 第 i 步 中 ,i; 是 2 x abs(sin( 让 )) 的 整数 部 分 ,i 的 单位 是 弧度 。 


5.3.3 SHA-S12 


美国 国家 标准 局 (NIST) 为 了 配合 数字 签名 标准 (DSA) ,在 1993 年 对 外 公布 了 安全 散 
列 函数 (SHA), 并 公布 为 联邦 信息 处 理 标 准 (FIPS 180) ,其 设计 的 方法 是 依据 已 有 的 MD4 
算法 ,所 以 其 基本 框架 与 MD4 类 似 。1995 年 NIST 发 布 了 SHA 的 修订 版 (FIPS 180-1)， 
通常 称 之 为 SHA-1.SHA-1 产生 160 比特 的 散 列 值 。2002 年 ,NIST 再 次 发 布 了 修订 版 
(FIPS 180-2) ,其 中 给 出 了 三 种 新 的 SHA 版 本 , 散 列 值 长 度 依次 为 256、384 和 512 比特 ,分 
别称 作 SHA-256,SHA-384 和 SHA-512( 如 表 5. 1 所 示 )。 这 些 新 的 版 本 和 SHA-1 具有 相 
同 的 基础 结构 ,使 用 了 相同 的 模 算术 和 二 元 逻辑 运算 。2005 年 , NIST 宣布 了 将 逐步 废除 
SHA-1, 到 2010 年 ,逐步 转 而 使 用 SHA 的 其 他 更 高 位 长 的 版 本 。2005 年 ,王小云 带领 的 研 
究 小 组 给 出 了 一 种 攻击 ,用 2” 次 操作 可 以 找到 两 个 独立 的 消息 使 它们 有 相同 的 SHA-1 值 ， 
而 以 前 认为 要 找到 一 个 SHA-1 碰撞 需要 2” 的 操作 ,所 需 操 作 大 为 减少 。 这 意味 着 ,对 于 
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SHA 的 使 用 需要 选择 更 高 位 数 的 版 本 。 
表 5.1 SHA 参数 比较 


SHA-1 SHA-256 SHA-384 SHA-512 
散 列 值 长 度 160 256 384 512 
消息 长 度 wn RE < 二 
分 组 长 度 512 512 1024 1024 
字 长 度 32 32 64 64 
步骤 数 80 64 80 80 
安全 性 80 128 192 256 


注 ， 
(1) 所 有 的 长 度 以 比特 为 单位 。 
(2) 安全 性 是 指 对 输出 长 度 为 n 比特 Hash 函数 的 生日 攻击 产生 碰撞 的 工作 量 大 约 为 2"? 。 


1. SHA-512 算法 

该 算法 的 输入 是 最 大 长 度 小 于 2“ 比特 的 消息 ,输出 是 512 比特 的 散 列 值 ,输入 消息 以 
1024 比特 的 分 组 为 单位 进行 处 理 。 输 出 摘要 的 总 体 过 程 遵 循 图 5. 9 所 示 的 一 般 结构 ,和 
MD5 类 似 , 其 过 程 包含 下 列 步 又 。 


， 4。 原始 消息 长 
填充 位 。 度 (128 位 ) 
es NX 1024 位 
一 位 位 二 
消息 |100…00| ZL 
一 -一 1024 位 一 一 一 1024 位 一 一 一 1024 位 一 一 一 一 1024 位 一 一 
| … » 四 


512 位 的 
散 列 值 


5.9 ”SHA-512 主要 处 理 过 程 


(1) 对 消息 进行 填充 。 对 原始 消息 进行 填充 使 其 长 度 与 896 模 1024 同 余 ( 即 填充 后 的 
消息 长 度 寺 896 mod 1024)。 即 使 原始 消息 已 经 满足 上 述 长 度 要 求 ,仍然 需要 进行 填充 , 因 
此 填充 位 数 在 1 一 1024 之 间 。 填 充 部 分 由 一 个 1 和 后 续 的 0 组 成 。 

(2) 添加 消息 长 度 信息 。 在 填充 后 的 消息 后 添加 一 个 128 位 的 块 ,用 来 说 明 填充 前 消 
息 的 长 度 ,表示 为 一 个 无 符号 整数 (最 高 有 效 字 节 在 前 )。 至 此 ,产生 了 一 个 长 度 为 1024 整 
数 倍 的 扩展 消息 。 如 图 5. 9 所 示 ,扩展 的 消息 被 表示 为 一 串 长 度 为 1024 比特 的 消息 分 组 
Zi,Yz,…,Yw, 因 此 扩展 消息 的 长 度 为 NX1024 位 。 

(3) 初始 化 Hash 缓冲 区 。Hash 函数 计算 的 中 间 结 果 和 最 终结 果 保存 在 512 位 的 缓冲 
区 中 ,分别 用 64 比特 的 寄存 器 (A,B,C,D,E,.F,.G,H) 表 示 , 并 将 这 些 寄 存 器 初始 化 为 下 列 
64 位 的 整数 (十 六 进 制 值 ) 。 

A=0x6A09E667F3BCC908 E=0x510E527FADE682D1 
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B=0xBB67AE8584CAA73B F=0x9B05688C2B3E6C1F 
C=0x3C6EF372FE94F82B G 一 0xlF83D9ABFB41BD6B 
D=0xA54FF53A5F1D36F1 H=0x5BEO0CD19137E2179 


这 些 值 以 高 端 格 式 存储 , 即 字 的 最 高 有 效 字 节 存 于 低地 址 字 节 位 置 (最 左边 ) 。 这 些 字 
的 获取 方式 如 下 : 前 8 个 素数 取 平 方 根 , 取 分 数 部 分 的 前 64 位 。 

(4) 以 1024 位 分 组 (16 个 字 ) 为 单位 处 理 消息 。 处 理 算法 的 核心 是 需要 进行 80 轮 运 算 
的 模块 , 即 图 5.9 中 的 下 。 图 5. 10 给 出 了 下 的 逻辑 原理 : 每 一 轮 都 把 512 位 缓冲 区 的 值 
ABCDEFGH 作为 输入 ,并 更 新 缓冲 区 的 值 。 第 一 轮 时 ,缓冲 区 的 值 是 中 间 的 Hash 值 
昌 ;-1。 每 一 轮 使 用 一 个 64 比特 的 值 W,(0 三 :三 79) 该 值 由 当前 被 处 理 的 1024 位 消息 分 组 
Y; 导出 ,导出 算法 是 后 面 将 要 讨论 的 消息 调度 算法 。 每 一 轮 还 将 使 用 常数 K, (0 三 1 二 79)。 
这 些 常 数 如 下 获得 : 前 80 个 素数 取 三 次 根 , 取 小 数 部 分 的 前 64 比特 。 这 些 常 数 提供 了 64 
比特 随机 串 集合 ,可 以 消除 输入 数据 里 的 任何 规则 性 。 第 80 轮 的 输出 和 第 一 轮 的 输入 
互相 加 产生 瓦 ,。 缓 冲 区 里 的 8 个 字 和 互 -;, 里 的 相应 字 独 立 进 行 模 2% 的 加 法 运算 。 

(5) 输出 。 所 有 的 NN 个 1024 位 分 组 都 处 理 完 以 后 ,最 后 输出 的 即 是 512 位 的 消息 散 列 值 。 
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5.10 ”SHA-512 每 一 步 的 核心 处 理 


SHA-512 的 运算 总 体 可 以 描述 如 下 。 
Ho。= 1V 
H; = SUMs (H; 1, ABCDEFGH.,) 
MD = Hy 
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其 中 :TV 为 上 述 算法 第 三 步 里 定义 的 ABCDEFGH 缓冲 区 的 初始 值 ; ABCDEFGH, 为 第 i 
个 消息 分 组 处 理 的 最 后 一 轮 的 输出 ; N 为 消息 (包括 填充 和 长 度 域 ) 里 的 分 组 数 ; SUMss 为 
对 输入 对 里 的 每 个 字 进 行 独立 的 模 2* 加 ; MD 为 最 后 的 消息 散 列 值 。 
2. 消息 调度 处 理 

每 一 轮 的 W,(0 三 1 二 79) 该 值 由 当前 被 处 理 的 1024 位 消息 分 组 Y; 导出 。 其 导出 算法 
如 图 5. 11 所 示 , 前 16 个 W,(0 二 t 二 15) 直 接 取 自 当前 消息 分 组 的 16 个 字 。 余 下 的 值 按 如 
下 方式 导出 : 

W, = ai? (Ws) Wr to (Ws) Ws 

其 中 ci (zx) 二 ROTR! (zx) 二 ROTR? (x)++SHR’ (zx) 

gi? (zx) = ROTR® (zx) + ROTR (x) + SHR' (zx) 

ROTR" (Xx) 二 对 64 位 的 变量 x 循环 右 移 ”比特 。 

SHR"(x) 二 对 64 位 变量 x 向 左 移 动 n 位 ,右边 填充 0。 

因此 ,前 16 步 处 理 过 程 中 ,W, 的 值 等 于 消息 分 组 里 的 相应 字 。 对 于 余下 的 64 步 ,W， 
的 值 由 其 前 面 的 4 个 值 的 异 或 形成 的 值 构成 ,4 个 值 中 的 两 个 要 进行 移 位 和 循环 移 位 操作 。 
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图 5.11 SHA-512 每 步 操作 中 的 消息 调度 处 理 


1024 位 


3. SHA-512 的 轮 函 数 
SHA-512 中 最 核心 的 处 理 就 是 对 单个 512 分 组 处 理 的 80 轮 的 每 一 轮 的 处 理 , 其 运算 
如 下 定义 。 


512 


Ti =h 二 Ch(e,f,g) 十 ( > 十 W, 十 K, 


1 


512 
T= (2 + Maj (a,bsc) 


0 


4 一 思 十 T: 
b=a 
c=b 
d=c 
e=d+T 
f=e 
g= 
h=g 


其 中 : 
。 为 步骤 数 ,0 过 1 过 79。 


第 5 章 消息 认证 与 数字 签名 i 


。 Ch(e,f,g) 二 (e AND 有 多 (NOTe AND g) 条 件 函 数 , 如 果 e, 则 了 ,否则 g。 
。 Maj(a,b,c) 二 (a AND 5) 外 (a AND 0 中 四 (6 AND c) ,函数 为 真 仅 当 变 量 的 多 数 (2 
或 3) 为 真 。 
512 
。 (> 4 = ROTR*” (a) 四 ROTR* (a) 外 ROTR™ (a), 


0 


512 
。 bs | = ROTR" (e) D ROTR* Ce) D ROTR (Ce) 。 


。，W, 为 64 位 ,从 当前 的 512 位 消息 分 组 导出 。 
。 KK, 为 64 位 常数 。 
。 十 为 模 2% 加 。 


5.3.4 HMAC 


Hash 函数 是 不 使 用 密 钥 的 ,不 能 像 MAC 一 样 使 用 。 正 如 5. 2 节 所 讨论 的 , MAC 主要 
基于 对 称 密码 算法 设计 的 ,如 5.2.2 节 中 讨论 的 MAC 算法 。 但 目前 ,研究 者 提出 了 一 些 将 
Hash 函数 用 于 构建 MAC 算法 的 方案 。HMAC 是 其 中 之 一 ,并 已 经 成 为 FIPS 标准 发 布 
(FIPS 198) ,后 被 使 用 于 IPSec 和 SSL 协议 中 。 

HMAC 的 设计 目标 如 下 。 

。 可 以 直接 使 用 现 有 的 Hash 函数 。 

。 不 针对 于 某 一 个 Hash 函数 ,可 以 根据 需要 更 换 Hash 函数 模块 。 

。 可 保持 Hash 函数 的 原 有 性 能 ,不 能 过 分 降低 其 性 能 。 

。 对 密 钥 的 使 用 和 处 理应 较 简 单 。 

。 如 果 已 知 嵌 入 的 Hash 函数 的 强度 , 则 可 以 知道 认证 机 制 抵抗 密码 分 析 的 强度 。 


因此 ,HMAC 中 使 用 的 Hash 函数 并 不 局 限 KK ipad 
在 某 一 种 Hash 函数 ,所 以 根据 使 用 不 同 的 Hash -机 I 本 
函数 , HMAC 有 不 同 的 实现 ,如 HMAC-SHA、 ! = 站 
HMAC-MD5 等 。 ! 3 
HMAC 算法 I 此 
5.12 给 出 了 HMAC 的 总 体 结构 ， 图 至 Opag a 
yee MY ee” HSIM) 
。 万 : 嵌入 的 Hash 函数 (如 MD5,SHA-1， 1 1 
RIPEMD-160) 。 So 
。 TV: 作为 Hash 函数 输入 的 初始 值 。 1 
。 M: HMAC 的 消息 输入 (包括 使 用 的 Hash WL HH 
函数 中 定义 的 填充 位 )。 时 | 
。Y;: M 的 第 i 个 分 组 ,0<i<(L 一 DD。 a 
。 工 : M 中 的 分 组 数 。 图 5.12 HMAC 的 结构 


。，5: 每 一 分 组 所 含 的 位 数 。 
。，n: 使 用 的 Hash 函数 所 产生 的 散 列 值 的 位 长 。 
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。 开 : 密 钥 ,建议 密 钥 长 度 大 于 nn。 车 密 钥 长 度 大 于 5, 则 将 密 钥 作 为 Hash 函数 的 输入 
以 产生 一 个 nn 位 的 密 钥 。 

。 K+ : 为 使 K 为 6 位 长 而 在 K 左边 填充 0 后 所 得 的 结果 。 

。 ipad: 00110110( 十 六 进 制 数 36) 重 复 5/8 次 的 结果 。 

。 opad: 01011100( 十 六 进 制 数 5C) 重 复 5/8 次 的 结果 。 

HMAC 可 描述 如 下 。 

FMACk 王 五 [CK+ 个 opad) || HL(KT@D(ipad) | M]] 

算法 的 处 理 流程 如 下 。 

(1) 在 密 钥 K 后 面 填充 0, 得 到 4 位 的 K* (例如 ,着 K 是 160 位 ,56 二 512, 则 在 KK 中 加 
人 44 个 0 字 节 0X00)。 

(2) Kt 与 ipad 执行 异 或 运算 (位 异 或 ) 产 生 b 位 的 分 组 S;。 

(3) 将 M 附 于 S, 后 。 

(4) 将 互 作用 于 步骤 3 所 得 的 结果 。 

(5) Kt 与 opad 执行 异 或 运算 (位 异 或 ) 产 生 2 位 的 分 组 Su 。 

(6) 将 步骤 4 中 的 散 列 值 附 于 S。 后 。 

(7) 将 互 作用 于 步骤 6 所 得 出 的 结果 ,输出 最 终结 果 。 

在 上 述 操 作 中 ,K 与 ipad 异 或 后 ,其 信息 位 有 一 半 发 生 了 变化 ; 同样 ,K 与 opad 异 或 
后 ,其 信息 位 的 另 一 半 也 发 生 了 变化 ,这 样 , 通 过 将 S; 与 S。 传 给 Hash 算法 中 的 压缩 函数 ， 
可 以 从 伪 随 机 地 产生 出 两 个 密 钥 。 

如 图 5. 13 所 示 ,为 了 有 效 的 实现 HMAC,HMAC 中 多 执行 的 三 次 Hash 运算 (对 S,、 
S, 和 五 (Si; M)) 可 以 采用 预计 算 的 方式 先 求 出 下 面 的 值 。 


预计 算 对 每 条 消息 计算 
K+ ipad | 
| .fg | 
| Te 人 
Wh ] | [ Yo | hn Eu Yr 
2 位 | 
1 
| 
: 必 .| 
1 工 各 
Kt ipad | ?位 
| [gl | HSIM) 
| | 填充 至 bp 位 
mr | 
1 
1 
2 位 1 
1 
-由 | 出 
1 
| 7 位 
1 


mc 


图 5.13 HMAC 的 实现 方案 


第 5 章 消息 认证 与 数字 签名 135 


fl(IV,(K+@ ipad)) 

flIV.,(K'@ opad)) 
其 中 f(cv,block) 是 Hash 函数 中 的 压缩 函数 ,其 输入 是 位 的 链接 值 和 6 位 的 消息 分 组 , 输 
出 是 位 的 链接 变量 。 上 述 这 些 值 只 在 初始 化 或 密 钥 改变 时 才 需 计算 ,实际 上 ,这 些 预先 计 
算 的 值 取代 了 Hash 函数 中 的 初始 值 TV。 这 样 的 处 理 方 式 使 得 HMAC 只 需 多 执行 一 次 压 
缩 函 数 , 但 这 种 处 理 方式 只 有 在 对 较 长 消息 处 理 的 时 候 可 以 显示 出 效果 ,对 于 较 短 的 消息 处 
理 时 ,没有 很 大 意义 。 


5.4 数字 签名 


5.4.1 数字 签名 的 基本 概念 


前 面 章节 讨论 的 消息 认证 方法 主要 是 为 通信 双方 提供 保护 消息 不 被 第 三 方 每 改 , 但 却 
无 法 防止 通信 双方 互相 欺骗 。 例 如 在 下 面 的 情形 中 ,通信 双方 会 产生 某 些 纠纷 。 

(1) 在 通信 中 ,通信 方 A 和 B 是 通过 共享 的 秘密 钥 对 传输 的 消息 计算 MAC 以 提供 认 
证 。 这 样 B 可 以 伪造 一 个 消息 ,并 使 用 共享 的 密 钥 对 其 生成 MAC, 然 后 声称 这 个 消息 是 来 
自 于 A 的 。 

(2) A 否认 曾经 发 送 过 某 条 消息 给 B, 但 事后 他 可 以 辩 称 B 收 到 的 这 条 消息 是 B 伪造 
的 , 即 否 认 自己 的 行为 。 

(3) B 收 到 A 发 送 的 某 条 消息 后 ,出 于 某 种 原因 ,他 和 否认 收 到 过 这 条 消息 。 

在 上 述 情形 中 ,由 于 通信 方 存在 互 不 信任 的 情况 ,单纯 的 使 用 签名 讨论 的 消息 认证 方法 
无 法 解决 这 些 问 题 。 数 字 签 名 是 解决 这 些 问题 的 最 好 选择 ,数字 签名 主要 的 功能 是 保证 信 
息 传 输 的 完整 性 ,发 送 者 的 身份 认证 、 防 止 交易 中 的 否认 发 生 。 简 单 来 说 ,数字 签名 技术 可 
以 解决 如 下 问题 。 

。 否认 : 发 送 方 否认 发 送 过 或 签名 过 某 个 消息 。 

。 伪造 : 用 户 A 伪造 一 份 消息 ,并 声称 该 消息 来 自 B。 

。 冒充 : 用 户 A 冒充 其 他 用 户 接收 或 发 送 报 文 。 

。 算 改 : 消息 接收 方 对 收 到 的 消息 进行 算 改 。 

数字 签名 也 是 一 种 认证 机 制 , 它 是 公 钥 密码 学 发 展 过 程 中 的 一 个 重要 组 成 部 分 ,是 公 钥 
密码 算法 的 典型 应 用 。 数 字 签 名 的 应 用 过 程 是 ,数据 源 发 送 方 使 用 自己 的 私 钥 对 数据 校 验 
和 或 其 他 与 数据 内 容 有 关 的 信息 进行 处 理 , 完 成 对 数据 的 合法 “签名 ” ,数据 接收 方 则 利用 发 
送 方 的 公 钥 来 验证 收 到 的 消息 上 的 “数字 签名 ”, 以 确认 签名 的 合法 性 。 

数字 签名 需要 满足 以 下 条 件 。 

。 签名 的 结果 必须 是 与 被 签名 的 消息 相关 的 二 进 制 位 串 。 

。 签名 必须 使 用 发 送 方 某 些 独 有 的 信息 (发 送 者 的 私 钥 ) ,以 防伪 造 和 否认。 

。 产生 数字 签名 比较 容易 。 

。 识别 和 验证 签名 比较 容易 。 

。 给 定数 字 签名 和 被 签名 的 消息 ,伪造 数字 签名 在 计算 上 是 不 可 行 的 。 
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。 保存 数字 签名 的 副本 ,并 由 第 三 方 进行 仲裁 是 可 行 的 。 
数字 签名 的 典型 使 用 方法 如 下 (如 图 5. 6(a) 所 示 ) 。 
(1) 消息 发 送 方式 与 散 列 函数 对 消息 进行 计算 ,得 到 消息 的 散 列 值 。 
(2) 发 送 方 使 用 自己 的 私 钥 对 消息 散 列 值 进行 计算 ,得 到 一 个 较 短 的 数字 签名 串 。 
(3) 这 个 数字 签名 将 和 消息 一 起 发 送 给 接收 方 。 
(4) 接收 方 首先 从 接收 到 的 消息 中 用 同样 的 散 列 函数 计算 出 一 个 消息 摘要 ,然后 使 用 
这 个 消息 摘要 ,发 送 者 的 公 钥 以 及 收 到 的 数字 签名 ,进行 数字 签名 合法 性 的 验证 。 
数字 签名 技术 是 在 网 络 虚 拟 环境 中 确认 身份 .提供 消息 完整 性 和 保证 消息 来 源 的 重要 
技术 ,可 以 提供 和 现实 中 的 “亲笔 签字 ?类似 的 效果 ,在 技术 和 法 律 上 都 有 保证 。 数 字 签 名 通 
常 和 Hash 函数 结合 使 用 ,用 来 提供 安全 高 效 的 数字 签名 的 方法 ,被 广泛 应 用 在 各 种 认证 协 
议 中 和 网 络 应 用 中 ,如 电子 商务 中 安全 ,方便 的 电子 支付 数据 传输 的 完整 性 、 身 份 验证 机 制 
以 及 交易 的 不 可 否认 性 的 实现 。 
5.4.2 数字 签名 方案 
本 节 给 出 一 些 常见 的 数字 签名 方案 及 数字 签名 的 应 用 。 
1. Schnorr 数字 签名 
1989 年 ,Schnorr 提出 一 签名 算法 ,其 算法 安全 性 基于 求解 离散 对 数 难 题 。 
算法 描述 如 下 。 
(1) 系统 参数 的 选择 
p,q: 满足 gq|p 一 1,g 宇 2 ,gq 宇 2。 
g: 8gEZD, ,满足 8 一 1 mod p,g 关 1。 
旦 : 为 散 列 函数 。 
Z: 为 用 户 的 私 钥 ,1 二 x 二 gq。 
y: 为 用 户 的 公 钥 ,y 一 8* mod p。 
(2) 签名 
设 要 签名 的 消息 为 M,0 二 M 二 p。 签 名 者 随机 选择 一 整数 ,1 二 kg, 并 计算 : 
e= H(r,M) 
s=k—zxe modg 
(e,s) 即 为 M 的 签名 。 签 名 者 将 M 连同 (r,s) 一 起 存放 ,或 发 送 给 验证 者 。 
(3) 验证 
验证 者 获得 M 和 (e,s) ,需要 验证 (e,s) 是 否 是 M 的 签名 。 
计算 : 
六 一 smod 亡 
检查 妃 (~ ,M) 一 e 是 否 正确 ,若是 , 则 (e,s) 为 M 的 合法 签名 。 
2. 数字 签名 标准 (DSS) 
1991 年 ,美国 国家 标准 局 (NIST) 发 布 了 数字 签名 标准 (FIPS PUB186), 简称 DSS 
(Digital Signature Standard) 。DSS 采用 了 SHA 散 列 算法 ,给 出 了 一 种 新 的 数字 签名 方法 ， 
即 数字 签名 算法 (DSA)。DSS 提出 后 ,1996 年 又 稍 作 修改 ,2000 年 发 布 了 该 标准 的 扩充 
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版 , 即 FIP 186-2。DSA 的 安全 性 是 建立 在 求解 离散 对 数 难 题 之 上 的 ,算法 基于 ElGamal 和 
Schnorr 签名 算法 ,其 后 面 发 布 的 最 新 版 本 还 包括 基于 RSA 和 椭圆 曲线 密码 的 数字 签名 算 
法 。 这 里 给 出 的 算法 是 最 初 的 DSA 算法 。 

DSA 只 提供 数字 签名 功能 的 算法 ,虽然 它 是 一 种 公 钥 密码 机 制 , 但 是 不 能 像 RSA 和 
ECC 算法 那样 还 可 以 用 于 加 密 或 密 钥 分 配 。 

DSS 方法 使 用 Hash 函数 产生 消息 的 散 列 值 ,和 随机 生成 的 & 作 为 签名 函数 的 输入 , 签 
名 函数 依赖 于 发 送 方 的 私 钥 (PRA) 和 一 组 参数 ,这 些 参 数 为 一 组 通信 伙伴 所 共有 ,我 们 可 以 
认为 这 组 参数 构成 全 局 公 钥 PUs。 签 名 由 两 部 分 组 成 ,标记 为 + 和;。 

接收 方 对 收 到 的 消息 计算 散 列 值 ,和 收 到 的 签名 (r,s) 一 起 作为 验证 函数 的 输入 ,验证 
函数 依赖 于 全 局 公 钥 和 发 送 方 公 钥 , 若 验证 函数 的 输出 等 于 签名 中 的 7, 则 签名 合法 。 

DSA 的 算法 具体 描述 如 下 (如 图 5. 14 所 示 )。 


5.14 DSS 签名 算法 


Q@ DSA 的 系统 参数 选择 如 下 。 

p: 512 的 素数 ,其 中 2 二 ! 二 p 二 2: ,512 过 L1024, 且 工 是 64 的 倍数 , 即 工 的 位 长 在 
512 一 1024 之 间 并 且 其 增 量 为 64 位。 

q: 160 位 的 素数 且 gq|p 一 1。 

g: 满足 g 二 h%-?% mod p。 

电 : 为 散 列 函 数 。 

Xs 为 用 户 的 私 钥 ,0 二 x 二 gq。 

y: 为 用 户 的 公 钥 ,y 二 gmod p。 

Pq.8 为 系统 发 布 的 公共 参数 ,与 公 钥 y 公开 ; 私 钥 x 保密 。 

@ 签名 

设 要 签名 的 消息 为 M,0 二 M 二 p。 签 名 者 随机 选择 一 整数 ,0 二 k 二 g, 并 计算 : 

r= (g* mod p) modg 
s=[k'(H(M)+zr)] modg 

(r,s) 即 为 M 的 签名 。 签 名 者 将 M 连同 (r,s) 一 起 存放 ,或 发 送 给 验证 者 。 

@ 验证 

验证 者 获得 M 和 (r,s) ,需要 验证 (r,s) 是 否 是 M 的 签名 。 

首先 检查 + 和 s 是 否 属于 [0.q], 若 不 是 , 则 (x,s) 不 是 签名 值 。 

否则 ,计算 : 
1modg 
ui = (H(M)w) modg 


Ww 二 5 


us =rw modg 
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v= ((gy*) mod p) modg 

如 果 v==r, 则 所 获得 的 (r,s) 是 M 的 合法 签名 。 

在 DSA 中 ,签名 者 和 验证 者 都 需要 进行 一 次 模 g 的 求 逆 运 算 , 这 个 运算 是 比较 耗 时 的 。 
Yen 和 Laih 提出 了 两 种 改进 的 方法 ,可 以 免 去 签名 者 或 验证 者 的 求 逆 运 算 , 其 方法 如 下 。 

Q@ DSA 改进 方法 1 

签名 : r 二 (g* mod p) modg 

s=(rk—H(M))x modg 
验证 : 上 一 一 : mod gq 
ua 一 (go0Ocy mod p) modg 

判断 久 是 否 和 x 相等。 

@ DSA 改进 方法 2 

签名 : r= 二 (g* mod p) modg 

s=(k(H(M)+zxr) !) modg 
验证 : t= 二 sH (CM) modg 
v=(g'y” mod p) modg 

判断 是 否 和 x 相等 。 

在 上 述 方法 中 ,有 些 计算 可 以 预先 完成 。 在 改进 方法 1 中 ,签名 时 所 用 到 的 xz ,如 果 z 
不 是 经 常 更 换 , 则 x ! 可 以 预先 计算 并 保存 以 便 多 次 使 用 ,这 样 就 可 以 省 掉 一 次 求 逆 运 算 。 
在 改进 方法 2 中 ,验证 者 无 需 计算 逆 元 。 即 便 对 于 初始 DSA, 也 可 以 采用 预计 算 的 方法 提 
高 效率 : 签名 时 所 计算 的 g* mod p 并 不 依赖 于 消息 ,因此 可 以 预先 计算 出 。 用 户 还 可 以 根 
据 需要 预先 计算 出 多 个 可 用 于 签名 的 ~, 以 及 相应 的 一: ,这 样 可 以 大 大 提高 效率 。 

以 上 给 出 的 签名 方案 是 直接 数字 签名 ,或 称 为 普通 数字 签名 ,包括 RSA、Schnorr、 
DSA 、ECC FiatrShamir、Guillou-Quisquarter、Schnorr 和 Ong-Schnorr-Shamir 等 数字 签名 
算法 。 这 类 数字 签名 只 涉及 通信 双方 , 即 签名 方 使 用 自己 的 私 钥 对 整个 消息 或 者 对 于 消息 
的 散 列 值 进行 签名 ,验证 者 使 用 签名 者 的 公 钥 进行 验证 。 即 便 发 生 纠纷 ,仲裁 法 也 是 根据 密 
钥 及 签名 值 进行 仲裁 。 这 样 的 方案 的 有 效 性 完全 依赖 于 签名 方 的 私 铀 。 如 果 签 名 者 的 私 钥 
丢失 或 者 被 攻击 者 获取 , 则 有 可 能 被 他 人 伪造 签名 ,这 时 产生 纠纷 后 ,仲裁 者 无 法 给 出 实时 
的 判断 。 因 此 ,在 实际 应 用 中 ,除了 普通 数字 签名 外 ,还 有 些 特 殊 的 签名 方案 ,更 多 的 可 以 说 
是 一 种 安全 协议 ,如 仲裁 数字 签名 、 盲 签名 .代理 签名 、 多 重 签名 .不 可 否认 签名 .公平 盲 签 
名 门限 签名 和 具有 消息 恢复 功能 的 签名 等 , 它 与 具体 应 用 环境 密切 相关 。 

3. 仲裁 数字 签名 

仲裁 签名 中 除了 通信 双方 外 ,还 有 一 个 仲裁 方 。 发 送 方 A 发 送 给 B 的 每 条 签名 的 消息 
都 先 发 送 给 仲裁 者 T,T 对 消息 及 其 签名 进行 检查 以 验证 消息 源 及 其 内 容 ,检查 无 误 后 给 消 
息 加 上 日 期 再 发 送 给 B, 同 时 指明 该 消息 已 通过 仲裁 者 的 检验 。 因 此 ,仲裁 数字 签名 实际 上 
涉及 多 余 一 步 的 处 理 , 仲 裁 者 的 加 入 使 得 对 于 消息 的 验证 具有 实时 性 。 

下 面 是 使 用 对 称 密码 的 仲裁 签名 的 例子 。 

© A-~T: M| Ex LIDa | HOM)] 

© TB: Er,LIDa | MI Ex LIDa 1 HCM)J I TJ 

在 这 个 例子 中 ,签名 采用 的 是 对 消息 的 加 密 处 理 , 即 整个 密 文 就 是 消息 的 签名 : 发 送 方 
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A 和 仲裁 者 T 共享 密 钥 Kar,A 和 B 共享 密 钥 Kas。A 产生 消息 M 并 计算 出 其 散 列 值 
玉 (M) ,然后 将 消息 M 及 其 签名 发 送 给 本 ,其 签名 由 A 的 标识 IDA 和 消息 散 列 值 组 成 ,并 且 
用 Kar 加 密 。A 对 签名 解密 后 ,通过 检查 散 列 值 来 验证 该 消息 的 有 效 性 ,然后 工 用 Krs 对 
TDA ,来 自 A 的 原始 消息 M、 来 自 A 的 签名 和 时 间 截 加 密 后 传 给 B。B 对 人 发 来 的 消息 解 
密 即 可 恢复 消息 M 和 签名 。B 检查 时 间 戳 以 确定 该 消息 是 实时 的 而 不 是 重 放 的 消息 。B 
可 以 存储 M 及 其 签名 ,如 果 和 A 发 生 争执 , 则 也 可 将 下 列 消息 发 给 工 以 证 明 曾 收 到 过 来 自 
A 的 消息 : Exi, [IDa | MI1 Ex LIDA | HCM)J TJ。 

下 面 是 使 用 公 钥 密码 体制 的 签名 ,并 且 仲 裁 者 不 能 阅读 消息 ,只 能 仲裁 发 送 者 的 行为 。 

© A 一 T， TDA | Epr, LTIDA | Epu, (Erpr, LMJ)] 

© TB: Epr. LTDA | Epu, LEpr, [MJJI TJ 

发 送 者 A 首先 使 用 自己 的 私 钥 对 消息 进行 签名 ,然后 再 使 用 接收 者 B 的 公 钥 对 消息 及 
签名 进行 加 密 ,A 再 次 使 用 自己 的 私 钥 对 连同 标识 和 密 文 的 内 容 进 行 签名 。 仲 裁 者 收 到 消 
息 后 ,使 用 A 的 公 钥 验证 外 层 签名 的 合法 性 ,但 是 无 法 获得 原始 消息 M 的 内 容 。 如 果 签 名 
合法 ,仲裁 方 对 密 文 消息 加 上 时 间 戳 使 用 自己 的 私 钥 进行 签名 .并 发 生 给 B。B 收 到 后 可 以 
验证 仲裁 方 的 签名 以 及 消息 的 实时 性 ,并 使 用 自己 的 私 钥 对 密 文 进行 解密 ,再 使 用 A 的 公 
钥 验 证 解密 后 的 消息 中 的 签名 ,以 判断 消息 的 合法 性 。B 可 以 保存 第 二 步 消 息 ,如 果 和 A 
产生 纠纷 , 则 可 以 作为 证 据 提供 给 仲裁 方 。 

和 前 面 一 个 方案 相 比 ,采用 公 钥 密码 的 方案 可 以 更 有 效 地 保护 发 送 者 和 接收 者 的 利益 ， 
因为 在 前 面 的 方案 中 ,仲裁 者 可 以 看 到 消息 的 内 容 , 可 能 和 接收 者 勾结 欺骗 发 送 者 ,也 可 能 
和 发 送 者 勾结 欺骗 接收 者 ,而 这 个 方案 中 ,仲裁 者 看 不 到 消息 的 内 容 , 并 且 也 无 法 进行 联合 
欺骗 。 

4. 盲 签名 

盲 签名 是 Chaum 在 1982 年 首次 提出 的 ,并 利用 讶 签名 技术 提出 了 第 一 个 电子 现金 方 
案 。 盲 签名 因为 具有 盲 性 这 一 特点 ,可 以 有 效 的 保护 所 签名 的 消息 的 具体 内 容 , 所 以 在 电子 
商务 等 领域 有 着 广泛 的 应 用 。 

盲 签 名 允许 消息 发 送 者 先 将 消息 盲 化 ,而 后 让 签名 者 对 盲 化 的 消息 进行 签名 ,最 后 消息 
拥有 者 对 签名 除去 盲 因 子 ,得 到 签名 者 关于 原 消息 的 签名 。 消 息 发 送 者 可 以 使 用 讶 签名 让 
签名 者 对 给 定 的 消息 进行 签名 ,但 不 泄露 关于 消息 和 消息 签名 的 任何 信息 。 它 除了 满足 一 
般 的 数字 签名 条 件 外 ,还 必须 满足 下 面 的 两 条 性 质 。 

@ 签名 者 不 知道 其 所 签名 的 消息 的 具体 内 容 。 

@ 签名 消息 不 可 追踪 , 即 当 签名 消息 被 公布 后 ,签名 者 无 法 知道 这 是 他 哪 次 签署 的 。 

关于 盲 签名 ,曾经 给 出 了 一 个 非常 直观 的 说 明 : 所 谓 言 签名 ,就 是 先 将 隐蔽 的 文件 放 进 
信封 里 ,而 除去 盲 因 子 的 过 程 就 是 打开 这 个 信封 , 当 文 件 在 一 个 信封 中 时 .任何 人 不 能 读 它 。 
对 文件 签名 就 是 通过 在 信封 里 放 一 张 复写 纸 , 签 名 者 在 信封 上 签名 时 ,他 的 签名 便 透 过 复写 
纸 签到 文件 上 。 

A 期 望 获得 对 消息 m 的 签名 ,B 对 消息 mm 的 盲 签 名 的 实现 描述 如 下 。 

Q@ 讶 化: A 对 于 消息 进行 处 理 , 使 用 盲 因子 合成 新 的 消息 M 并 发 生 给 B。 

@ 签名 : B 对 消息 M 签名 后 ,将 签名 (Msign(M)) 返回 给 A。 

@@ 去 盲 : A 去 掉 盲 因子 ,从 对 M 的 签名 中 得 到 B 对 m 的 签名 。 
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一 般 来 说 ,一 个 好 的 盲 签 名 应 该 具有 以 下 的 性 质 

@ 不 可 伪造 性 。 除了 签名 者 本 人 外 ,任何 人 都 不 能 以 他 的 名 义 生成 有 效 的 讶 签名 

@ 不 可 否认 性 。 签 名 者 一 旦 签署 了 某 个 消息 ,他 无 法 否认 自己 对 消息 的 签名 。 

@ 盲 性 。 签 名 者 虽然 对 某 个 消息 进行 了 签名 ,但 他 不 可 能 得 到 消息 的 具体 内 容 。 

@ 不 可 跟踪 性 。 一 旦 消息 的 签名 公开 后 ,签名 者 不 能 确定 自己 何 时 签署 的 这 条 消息 。 
也 就 是 说 ,即使 签名 者 存储 了 盲 消 息 M 和 相应 的 签名 sigz(CM) ,等 到 m 和 其 签名 sign(m) 
公布 后 ,他 也 无 法 找 出 Gm,sign(m)) 和 (M,sign(M)) 之 间 的 联系 。 

不 满足 上 述 第 4 条 的 盲 签名 方案 成 为 弱 盲 签名 方案 ,否则 成 为 强 盲 签名 方案 。 这 4 条 
性 质 既是 我 们 设计 讶 签名 所 应 遵循 的 安全 标准 ,又 是 我 们 判断 盲 签名 性 能 优 劣 的 根据 。 

自 Chaum 提出 首 个 基于 大 整数 分 解难 题 上 的 讶 签名 方案 后 ,研究 者 陆续 提出 了 基于 离 
散 对 数 的 盲 签名 方案 、 基 于 二 项 剩余 的 盲 签名 方案 、 基 于 ElGamal 且 具 有 匿名 性 的 盲 签 名 
方案 、 群 盲 签名 方案 、 基 于 比特 承诺 的 盲 签名 等 。 

利用 盲 签名 技术 可 以 保护 用 户 的 隐私 权 , 因 此 , 盲 签名 技术 在 诸多 电子 支付 .电子 现金 
方案 中 被 广泛 使 用 。 盲 数字 签名 技术 在 充分 保护 用 户 隐 私 的 同时 ,也 为 不 法 分 子 提供 了 可 
乘 之 机 ,他 们 利用 电子 现金 的 完全 匿名 性 特点 进行 欺骗 等 违法 犯罪 活动 。1995 年 
M. Stadler、J. M. Piveteau 和 J. Camenischt 提出 了 公平 盲 签名 的 概念 ,可 用 于 条 件 匿 名 支付 
系统 ,在 一 定 程度 上 消除 了 电子 现金 极端 匿名 性 带 来 的 负面 影响 。 

5. 代理 签名 


代理 签名 的 目的 是 当 某 签名 人 因 某 种 原因 不 能 行使 签名 权力 时 ,将 签名 权 委 派 给 其 他 
人 蔡 自 己 行使 签名 权 。 由 原始 签名 者 (部 分 ) 授 权 代 理 签 名 者 ,使 代理 签名 者 产生 代替 原始 
签名 的 签名 就 是 代理 数字 签名 。 这 个 概念 是 由 Mambo、Usada 和 Okamoto 于 1996 年 首先 


提出 的 ,并 且 给 出 了 一 个 代理 签名 方案 (下 面 简称 MUO 方案 ) 。 

MUO 代理 数字 签名 方案 描述 如 下 。 

系统 参数 : p 是 一 个 大 素数 ,g 为 p 一 1 的 大 素 因 子 ,gsgEZQr , 且 g* 二 1 mod p。 原 始 签 名 
者 A、 代 理 签名 者 B 的 私 钥 为 PRA、PRs€ {1,2,…,g 一 1 }; 公 钥 分别 为 PUA 一 gPos mod p、 


PU 二 gmod p。 代 理 签名 步骤 如 下 。 

@ 产生 代理 密 钥 : A 随机 选择 一 个 数 kE Zr ,计算 r= 二 g* mod p, 然 后 计算 代理 签名 密 
钥 ;二 (PRA 十 kr)mod gq。 

@ 代理 密 钥 的 传递 : A 将 (s,r) 以 安全 的 方式 发 送 给 B。 

@ 代理 密 钥 的 验证 : B 检查 等 式 g’' 二 PUar” mod p 是 否 成 立 ,如 果 成 立 则 接受 ,否则 
拒绝 。 

@ 代理 签名 者 对 消息 签名 : 对 于 消息 m,B 将 ;作为 新 的 私 钥 ( 蔡 代 PRA) 使 用 签名 算 
法 产生 对 m 的 签名 s, 一 sig(s,m) ,然后 将 (s,.r) 作 为 他 代表 A 对 于 消息 mm 的 数字 签名 ( 即 
代理 签名 ) 。 

@@ 代理 签名 的 验证 : 接收 方 收 到 消息 mx 和 代理 签名 (s, ,7) ,验证 verCPUA , (so :7),m) 二 
true, 是 否 成 立 , 如 果 成 立 则 认为 代理 签名 成 立 , 否 则 拒绝 。 

也 就 是 说 ,在 上 述 签名 方案 中 ,A 并 没有 泄露 自己 的 私 钥 , 但 是 使 用 计算 为 B 生成 了 一 
对 代理 公私 钥 对 , 设 为 (PRs,PUs), 其 中 PR 一 s, PRs 一 g* mod gq。 在 B 代 理 签名 中 ,用 的 
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是 这 对 密 钥 对 对 消息 进行 签名 。 

现在 已 经 出 现 了 一 些 基于 离散 对 数 和 素 因 子 分 解 问题 的 代理 签名 方案 。 在 这 些 代理 签 
名 方案 中 ,假设 A 委托 B 进行 代理 签名 , 则 签名 必须 满足 三 个 最 基本 的 条 件 。 

@ 签名 接收 方 能 够 像 验 证 A 的 签名 那样 验证 B 的 签名 。 

@@ A 的 签名 和 B 的 签名 应 当 完 全 不 同 , 并 且 容 易 区 分 。 

@ A 和 B 对 签名 事实 不 可 否认 。 


5.5 关键 术语 


消息 认证 码 (Message Authentication Code, MAC) 

散 列 函 数 (也 称 杂 潍 函数 ) (Hash Function) 

散 列 消息 认证 码 (Hashed Message Authentication Code, HMAC) 
安全 散 列 函数 (Secure Hash Function,SHF) 

数字 签名 标准 (Digital Signature Standard,DSS) 

数字 签名 (Digital Signature) 

讶 签名 (Blind Signature) 


5.6 习 题 


为 什么 需要 消息 认证 ? 

SHA 中 使 用 的 基本 算术 和 逻辑 函数 是 什么 ? 

一 个 安全 的 散 列 函数 需要 满足 的 特性 有 哪些 ? 

什么 是 生日 攻击 ? 

散 列 函 数 和 消息 认证 码 有 什么 区 别 ? 各 自 可 以 提供 什么 功能 ? 
数字 签名 和 散 列 函数 的 应 用 有 什么 不 同 ? 

数字 签名 需要 满足 哪些 条 件 ? 

给 出 几 种 数字 签名 技术 ,分 析 其 优 缺 点 。 
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本 章 导读 

如 本章 主 要 介绍 身份 认证 技术 和 访问 控制 机 制 。 身 份 认证 是 整个 信息 安全 体系 的 基 
础 ,访问 控制 是 对 信息 系统 资源 进行 保护 的 重要 措施 ,也 是 计算 机 系统 最 重要 和 最 
基础 的 安全 机 制 。 

局 身份 认证 是 指 计算 机 及 网 络 系统 确认 操作 者 身份 的 过 程 。 它 用 来 防止 计算 机 系统 
被 非 授权 用 户 或 进程 侵入 ,保证 以 数字 身份 进行 操作 的 操作 者 就 是 这 个 数字 身份 合 
法 的 拥有 者 ,属于 第 一 道 防线 。 

局 身份 认证 的 基本 思想 是 通过 验证 被 认证 对 象 的 属性 来 达到 确认 被 认证 对 象 是 否 真 
实 有 效 的 目的 。 被 认证 对 象 的 属性 可 以 是 口令 、 数 字 签 名 或 者 像 指纹 、 声 音 、 视 网 膜 
这 样 的 生理 特征 。 

要 访问 控制 的 主要 任务 是 保证 资源 不 被 非法 使 用 和 访问 。 访 问 控 制 规定 了 主体 对 客 
体 访问 的 限制 ,并 在 身份 识别 的 基础 上 ,根据 身份 对 提出 资源 访问 的 请 求 加 以 控制 。 

如 通常 访问 控制 策略 可 以 划分 为 自主 访问 控制 ,强制 访问 控制 和 基于 角色 的 访问 控制 
三 种 。 

局 自主 访问 控制 是 指 对 某 个 客体 具有 拥有 权 ( 或 控制 权 ) 的 主体 能 够 将 对 该 客体 的 一 
种 访问 权 或 多 种 访问 权 自 主 地 授予 其 他 主体 ,并 在 随后 的 任何 时 刻 将 这 些 权限 回 
收 。 自 主 访问 控制 的 自主 性 为 用 户 提供 了 极 大 的 灵活 性 ,但 它 的 安全 级 别 较 低 。 

如 强制 访问 控制 依据 主体 和 客体 的 安全 级 别 来 决定 主体 是 否 有 对 客体 的 访问 权 。 强 
制 访问 控制 主要 用 于 多 级 安全 军事 应 用 ,安全 性 好 。 

如 基于 角色 的 访问 控制 (RBAC) 在 用 户 和 权限 之 间 引 入 角色 ,不 是 直接 授权 给 用 户 , 而 
是 先 授权 给 角色 ,然后 再 授予 用 户 角 色 。RBAC 体现 了 系统 的 组 织 结构 ,简洁 并 具 
有 灵活 性 ,大 大 降低 了 系统 的 复杂 度 和 系统 管理 员 误 操作 的 可 能 性 。 角 色 之 间 的 互 
斥 关 系 可 以 很 容易 地 实现 任务 分 离 , 角 色 访 问 控制 还 支持 最 小 权限 。 


随 着 计算 机 系统 、 开 放 式 网 络 系统 的 迅猛 发 展 及 其 在 各 行 各 业 的 普遍 应 用 ,认证 用 户 身 
份 和 保证 用 户 使 用 系统 时 的 安全 正 越 来 越 受 到 社会 的 普遍 重视 ,相应 地 ,对 于 身份 认证 技术 
和 访问 控制 机 制 的 研究 也 逐渐 发 展 起 来 。 

认证 技术 是 信息 安全 中 的 一 个 重要 内 容 , 认 证 指 的 是 证 实 被 认证 对 象 是 否 属实 和 是 否 
有 效 的 一 个 过 程 。 认 证 一 般 可 以 分 为 两 种 : 

(1) 消息 认证 : 用 于 保证 信息 的 完整 性 和 抗 否认 性 。 在 很 多 情况 下 ,用 户 要 确认 网 上 
信息 是 不 是 假 的 ,信息 是 否 被 第 三 方 修改 或 伪造 ,这 就 需要 消息 认证 。 消 息 认证 的 有 关内 容 
参见 第 5 章 。 

(2) 身份 认证 : 用 于 鉴别 用 户 身 份 。 包 括 识别 和 验证 ,识别 是 指明 确 并 区 分 访问 者 的 
身份 ; 验证 是 指 对 访问 者 声称 的 身份 进行 确认 。 
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6.1 身份 认证 


身份 认证 是 对 系统 中 的 主体 进行 验证 的 过 程 ,用 户 必须 提供 他 是 谁 的 证 明 。 在 现实 生 
活 中 ,我 们 每 个 人 的 身份 主要 是 通过 各 种 证 件 来 确认 的 ,如 身份 证 .学 生 证 和 户口 本 等 。 计 
算 机 系统 和 计算 机 网 络 是 一 个 虚拟 的 数字 世界 ,在 这 个 数字 世界 中 ,一切 信 息 包 括 用 户 的 身 
份 信息 都 是 用 一 组 特定 的 数据 来 表示 的 ,计算 机 只 能 识别 用 户 的 数字 身份 ,所 有 对 用 户 的 授 
权 也 是 针对 用 户 数 字 身 份 的 授权 。 而 我 们 生活 的 现实 世界 是 一 个 真实 的 物理 世界 ,每 个 人 
都 拥有 独一无二 的 物理 身份 。 如 果 不 能 保证 以 数字 身份 进行 操作 的 操作 者 就 是 这 个 数字 身 
份 的 合法 拥有 者 ,也 就 是 说 如 果 不 能 保证 操作 者 的 物理 身份 与 数字 身份 相对 应 ,那么 将 不 能 
保证 用 户 的 信息 安全 。 比 如 在 银行 系统 中 ,如 果 ATM 自动 取款 机 不 能 确认 用 户 的 身份 ,将 
会 给 银行 和 用 户 造 成 损失 。 

因此 ,为 了 防止 非法 用 户 进 入 系统 ,在 用 户 进入 (即使 用 ?计算 机 系统 和 网 络 之 前 ,系统 
要 对 用 户 的 身份 进行 鉴别 ,以 判别 该 用 户 是 否 是 系统 的 合法 用 户 。 

那么 大 家 熟悉 的 如 防火 墙 \, 人 侵 检 测 `VPN 安全 网 关 和 安全 目录 等 ,与 身份 认证 系统 
有 什么 区 别 和 联系 呢 ? 我 们 从 这 些 安全 产品 实现 的 功能 来 分 析 就 明白 了 : 防火 墙 保 证 了 未 
经 授权 的 用 户 无 法 访问 相应 的 端口 或 使 用 相应 的 协议 ; 入侵 检测 系统 能 够 发 现 未 经 授权 用 
户 攻击 系统 的 企图 ; VPN 在 公共 网 络 上 建立 一 个 经 过 加 密 的 虚拟 的 专用 通道 供 经 过 授权 
的 用 户 使 用 ; 安全 网 关 保证 了 用 户 无 法 进入 未 经 授权 的 网 段 , 安 全 目录 保证 了 授权 用 户 能 
够 对 存储 在 系统 中 的 资源 迅速 定位 和 访问 。 这 些 安全 产品 实际 上 都 是 针对 用 户 数字 身份 的 
权限 管理 ,它们 解决 了 哪个 数字 身份 对 应 能 干什么 的 问题 。 而 身份 认证 解决 了 用 户 的 物理 
身份 和 数字 身份 相对 应 的 问题 ,给 他 们 提供 了 权限 管理 的 依据 。 如 果 把 信息 安全 体系 看 做 
一 个 木 桶 ,那么 这 些 安全 产品 就 是 组 成 木 桶 的 一 块 块 木板 , 则 整个 系统 的 安全 性 取决 于 最 短 
的 一 块 木板 。 这 些 模块 在 不 同 的 层次 上 阻止 了 未 经 授权 的 用 户 访 问 系统 ,这 些 授权 的 对 象 
都 是 用 户 的 数字 身份 。 而 身份 认证 模块 就 相当 于 木 桶 的 桶 底 , 由 它 来 保证 物理 身份 和 数字 
身份 的 统一 ,如 果 桶 底 是 漏 的 , 那 桶 壁 上 的 木板 青 长 也 没有 用 。 因 此 ,在 计算 机 和 互联 网 络 
世界 里 ,身份 认证 是 一 个 最 基本 的 要 素 ,是 整个 信息 安全 体系 的 基础 ,也 是 访问 控制 的 基础 ， 
是 信息 安全 的 第 一 道 关 卡 。 它 的 地 位 和 作用 如 图 6. 1 所 示 。 


EF 


安全 管理 员 


AA 访问 控制 
图 6.1 身份 认证 是 安全 系统 中 的 第 一 道 关卡 


从 图 6. 1 中 可 以 看 出 ,身份 认证 是 安全 系统 中 的 第 一 道 关 卡 ,用 户 在 访问 安全 系统 之 
前 ,首先 经 过 身份 认证 系统 识别 身份 ,然后 访问 监控 器 根据 用 户 的 身份 和 授权 数据 库 决定 用 


人 
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户 是 否 能 够 访问 某 个 资源 ,授权 数据 库 由 安全 管理 员 按 照 需要 进行 配置 。 访 问 控制 和 审计 
系统 都 要 依赖 于 身份 认证 系统 的 提供 的 “信息 ”一 一 用 户 的 身份 。 可 见 身份 认证 在 安全 系统 
中 的 地 位 极其 重要 ,是 最 基本 的 安全 服务 ,其 他 的 安全 服务 都 要 依赖 于 它 。 一 旦 身份 认证 系 
统 被 攻破 ,那么 系统 的 所 有 安全 措施 将 形同虚设 。 正 因 如 此 ,通常 黑客 攻击 的 目标 就 是 身份 
认证 系统 。 可 见 ,身份 认证 是 计算 机 系统 和 网 络 系统 安全 的 关键 ,研究 和 发 展 身份 认证 技术 
势 在 必 行 。 


6.1.1 身份 认证 的 基本 方法 


建立 信息 安全 体系 的 目的 就 是 要 保证 存储 在 计算 机 及 网 络 系统 中 的 数据 只 能 够 被 有 权 
操作 的 人 访问 ,所 有 未 被 授权 的 人 无 法 访问 到 这 些 数据 。 这 里 说 的 是 对 人 ”的 权限 的 控制 ， 
即 对 操作 者 物理 身份 的 权限 控制 。 不 论 安全 性 要 求 多 高 的 数据 , 它 存 在 就 必然 要 有 相对 应 
的 授权 人 可 以 访问 它 , 否 则 ,保存 一 个 任何 人 都 无 权 访 问 的 数据 有 什么 意义 ? 然而 ,如 果 没 
有 有 效 的 身份 认证 手段 ,这 个 有 权 访 问 者 的 身份 就 很 容易 被 伪造 ,那么 ,不 论 投 入 再 大 的 资 
金 ,建立 的 再 坚固 安全 防范 体系 都 形同虚设 。 就 好 像 我 们 建造 了 一 座 非 常 结实 的 保险 库 , 安 
装 了 非常 坚固 的 大 门 , 却 没有 安装 门 锁 一 样 。 因 此 安全 有 效 的 身份 认证 方法 就 成 为 研究 

从 传说 中 * 芝 麻 开 门 ” 的 咒语 ,到 后 来 的 按 手 印 .支票 签名 ,再 到 现在 的 安全 密码 认证 、 数 
字 签 名 .生物 识别 …… 身份 认证 与 身份 识别 技术 的 发 展 从 来 就 没有 停止 过 。 身 份 认 证 技术 
的 发 展 , 经 历 了 从 软件 认证 到 硬件 认证 ,从 单 因 子 认 证 到 双 因 子 认 证 ,从 静态 认证 到 动态 认 
证 的 过 程 。 

如 果 通 信 的 双方 只 需要 一 方 被 男 一 方 鉴别 身份 ,这 样 的 认证 过 程 就 是 一 种 单 向 认证 ; 
而 在 双向 认证 过 程 中 ,通信 双方 需要 互相 认证 鉴别 各 自 的 身份 。 口令 核对 其 实 也 是 一 种 单 
向 认证 ,只 是 这 种 认证 方法 还 没有 与 密 钥 分 发 相 结合 。 

从 是 否 使 用 硬件 来 分 ,身份 认证 技术 可 以 分 为 软件 认证 和 硬件 认证 。 

从 认证 需要 验证 的 条 件 来 看 ,可 以 分 为 单 因 子 认 证 和 双 因 子 认 证 。 仅 通过 一 个 条 件 的 
符合 来 证 明 一 个 人 的 身份 称 之 为 单 因子 认证 。 由 于 仅 使 用 一 种 条 件 判 断 用 户 的 身份 容易 被 
仿冒 ,可 以 通过 组 合 两 种 不 同 条 件 来 证 明 一 个 人 的 身份 , 称 之 为 双 因子 认证 。 

从 认证 信息 来 看 ,可 以 分 为 静态 认证 和 动态 认证 。 

从 认证 手段 来 分 ,可 以 分 为 以 下 三 种 。 

@ 基于 用 户 所 知道 的 (秘密 如 : 口令 .个 人 识别 号 (PIN) 或 密 钥 ) 。 

@ 基于 用 户 所 拥有 的 ( 令 牌 如 : 信用 卡 、 智 能 卡 .印章 ) 。 

@ 基于 用 户 本 身 的 (生物 特征 如 : 语音 特征 、 笔 迹 特征 或 指纹 ) 。 

这 三 种 方法 可 以 单独 使 用 或 联合 使 用 。 

现在 计算 机 及 网 络 系统 中 常用 的 身份 认证 方法 主要 有 以 下 几 种 。 

1. 用 户 名 /密码 方式 

用 户 名 /密码 是 最 简单 也 是 最 常用 的 身份 认证 方法 , 它 是 基于 “用 户 所 知道 (what you 
know)” 的 验证 手段 。 它 的 一 般 做 法 是 每 一 个 合法 用 户 都 有 系统 给 的 一 个 用 户 名 /口令 对 ， 
当 用 户 要 求 访 问 提供 服务 的 系统 时 ,系统 就 要 求 输入 用 户 名 ,口令 ,在 收 到 口令 后 ,将 其 与 系 
统 中 存储 的 用 户口 令 进 行 比较 ,以 确认 被 认证 对 象 是 否 为 合法 访问 者 。 如 果 正 确 , 则 该 用 户 
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的 身份 得 到 了 验证 。 由 于 每 个 用 户 的 密码 是 由 这 个 用 户 自己 设 定 的 ,只 有 他 自己 才 知 道 , 因 
此 只 要 能 够 正确 输入 密码 ,计算 机 就 认为 他 就 是 这 个 用 户 。 这 种 认证 方法 的 优点 在 于 : 一 
般 的 系统 (如 UNIX、Windows NT、NetWare 等 ) 都 提供 了 对 口令 认证 的 支持 ,对 于 封闭 的 
小 型 系统 来 说 不 失 为 一 种 简单 可 行 的 方法 。 

但 这 种 方式 是 一 种 单 因素 的 认证 , 它 的 安全 性 依赖 于 密码 。 而 实际 上 ,由 于 许多 用 户 为 
了 防止 忘记 密码 ,经 常会 采用 容易 被 他 人 猜 到 的 有 意义 的 字符 串 作为 密码 ,例如 单一 字母 ， 
账号 名 称 ,一 串 相同 字母 或 是 有 规则 变化 的 字符 串 等 ,甚至 于 采用 电话 号 码 ,或 者 生日 .身份 
证 号 码 等 内 容 。 虽 然 很 多 系统 都 会 设计 登录 不 成 功 的 限制 次 数 ,但 不 足以 防止 长 时 间 的 学 
试 猜 测 ,只 要 经 过 一 定 的 时 间 总 会 被 猜测 出 来 。 还 有 一 些 系 统 会 使 用 强迫 更 改 密码 的 方法 ， 
防止 这 种 入侵 ,但 是 依照 习性 及 好 记 的 原则 下 选择 的 密码 ,仍然 很 容易 被 猜测 出 来 。 因 而 这 
种 方式 存在 着 许多 安全 隐患 , 极 易 造成 密码 泄露 。 密 码 一 旦 泄露 ,用 户 即 可 被 冒充 。 即 使 能 
保证 用 户 密 码 不 被 泄露 ,由 于 密码 是 静态 的 数据 ,并 且 在 验证 过 程 中 ,需要 在 计算 机 内 存 中 
和 网 络 中 传输 ,而 每 次 验证 过 程 使 用 的 验证 信息 都 是 相同 的 ,很 容易 被 驻 留 在 计算 机 内 存 中 
的 木马 程序 或 网 络 中 的 监听 设备 截获 。 

因此 用 户 名 /密码 方式 是 一 种 极 不 安全 的 身份 认证 方式 。 而 且 常 用 的 单一 密码 保护 设 
计 , 也 是 无 法 保障 网 络 重要 资源 或 机 密 的 。 身 份 认证 的 工具 应 该 具有 不 可 复制 及 防伪 等 功 
能 ,使 用 者 应 依照 自身 的 安全 程度 需求 选择 一 种 或 多 种 工具 进行 。 

2. IC 卡 认 证 方式 

IC 卡 是 一 种 内 置 了 集成 电路 的 卡片 ,卡片 中 存 有 与 用 户 身 份 相 关 的 数据 ,可 以 认为 是 
不 可 复制 的 硬件 。IC 卡 由 合法 用 户 随 身 携带 ,登录 时 必须 将 IC 卡 插入 专用 的 读 卡 器 中 读 
取 其 中 的 信息 ,以 验证 用 户 的 身份 。IC 卡 认证 是 基于 “用 户 所 拥有 (what you have)” 的 手 
段 ,通过 IC 卡 硬件 的 不 可 复制 性 来 保证 用 户 身份 不 会 被 仿冒 。 

在 一 般 的 观念 上 ,认为 系统 需要 输入 密码 , 才 算 是 安全 的 ,然而 重复 使 用 的 单一 密码 就 
能 确保 系统 的 安全 吗 ? 答案 是 否定 的 。 由 于 每 次 从 IC 卡 中 读 取 的 数据 还 是 静态 的 ,通过 内 
存 扫描 或 网 络 监听 等 技术 还 是 很 容易 能 截取 到 用 户 的 身份 验证 信息 。 因 此 ,静态 验证 的 方 
式 还 是 存在 着 根本 的 安全 隐患 。 

3. 动态 口令 方式 

动态 口令 技术 是 一 种 让 用 户 的 密码 按照 时 间或 使 用 次 数 不 断 动态 变化 ,每 个 密码 只 使 
用 一 次 的 技术 。 它 采用 一 种 称 之 为 动态 密码 卡 的 专用 硬件 ,密码 生成 芯片 运行 专门 的 密码 
算法 ,根据 当前 时 间或 使 用 次 数 生成 当前 密码 。 用 户 使 用 时 只 需要 将 动态 令 牌 上 显示 的 当 
前 密码 输入 客户 端 计算 机 ,由 这 个 信息 的 正确 与 否 ,可 以 对 使 用 者 的 身份 做 出 正确 的 识别 。 
由 于 每 次 使 用 的 密码 必须 由 动态 密码 卡 来 产生 ,只 有 合法 用 户 才 持 有 该 硬件 ,所 以 只 要 
密码 验证 通过 就 可 以 认为 该 用 户 的 身份 是 可 靠 的 。 动 态 口 令 技 术 采 用 一 次 一 密 的 方法 ,在 
每 次 使 用 时 会 产生 一 组 不 同 的 密码 , 供 拥 有 者 使 用 ,密码 内 容 每 次 改变 ,而 且 没 有 规则 性 ,不 
能 由 产生 的 内 容 去 预测 出 下 一 次 的 内 容 , 因 此 对 于 和 欲 窃取 者 而 言 是 没有 意义 的 。 并 且 输 入 
方法 普遍 (一 般 计算 机 键盘 即 可 ,甚至 于 可 用 于 一 般 门禁 装置 或 者 电话 等 设备 ) ,能 符合 网 络 
行为 双方 的 需要 ,有 效 地 保证 了 用 户 身 份 的 安全 性 。 但 是 如 果 客 户 端 硬件 与 服务 器 端 程序 
的 时 间或 次 数 不 能 保持 良好 的 同步 ,就 可 能 发 生 合法 用 户 无 法 登录 的 问题 ,这 使 得 用 户 的 使 
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用 非常 不 方便 。 

动态 密码 卡 的 产生 原理 ,一 般 是 采用 特定 的 运算 函 式 或 流程 ,可 称 为 基本 函数 ,加 上 具 
有 变动 性 的 一 些 参 数 , 称 为 基本 元 素 。 利 用 基本 元 素 经 过 基本 函数 的 运算 流程 得 到 结果 , 产 
生 的 内 容 再 转换 为 使 用 的 密码 。 由 于 基本 元 素 具 有 每 次 变化 的 特性 ,因此 每 次 产生 的 密码 
都 会 不 相同 ,所 以 称 为 动态 密码 。 

动态 密码 卡 的 基本 元 素 依 目前 的 产品 分 类 来 看 ,大 致 上 可 分 为 三 种 产生 方法 : 一 是 依 
时 间 因 素 产生 ,二 是 依 使 用 次 数 的 原理 ,三 是 以 挑战 /响应 的 方式 作为 密码 产生 的 变化 因素 。 

4. 生物 特征 认证 方式 

基于 生物 特征 的 认证 方式 是 以 人 体 唯一 的 .可 靠 的 、 稳 定 的 生物 特征 (如 指纹 .虹膜 、 脸 
部 、 掌 纹 等 ) 为 依据 ,采用 计算 机 的 强大 功能 和 网 络 技术 进行 图 像 处 理 和 模式 识别 。 从 理论 
上 说 ,生物 特征 认证 是 最 可 靠 的 身份 认证 方式 ,因为 它 直接 使 用 人 的 物理 特征 来 表示 每 一 个 
人 的 数字 身份 ,几乎 不 可 能 被 仿冒 。 该 技术 具有 很 好 的 安全 性 .可靠 性 和 有 效 性 ,与 传统 的 
身份 确认 手段 相 比 ,无疑 产生 了 质 的 飞跃 。 

不 过 ,生物 特征 认证 是 基于 生物 特征 识别 技术 的 ,受到 现在 的 生物 特征 识别 技术 成 熟 度 
的 影响 。 采 用 生物 特征 认证 还 具有 较 大 的 局 限 性 : 首先 ,生物 特征 识别 的 准确 性 和 稳定 性 
还 有 待 提高 ; 其 次 ,由 于 研发 投入 较 大 而 产量 较 小 的 原因 ,生物 特征 认证 系统 的 成 本 非 
常 高 。 

5。USB Key 认证 方式 

基于 USB Key 的 身份 认证 方式 是 一 种 方便 安全、 经 济 的 身份 认证 技术 , 它 采 用 软 硬 件 
相 结合 .一 次 一 密 的 强 双 因子 认证 模式 ,很 好 地 解决 了 安全 性 与 易 用 性 之 间 的 矛盾 。 

USB Key 是 一 种 USB 接口 的 硬件 设备 , 它 内 置 单片机 或 智能 卡 芯 片 ,可 以 存储 用 户 的 
密 钥 或 数字 证 书 , 利 用 USB Key 内 置 的 密码 学 算法 实现 对 用 户 身 份 的 认证 。 基 于 USB 
Key 身份 认证 系统 主要 有 两 种 应 用 模式 : 一 是 基于 挑战 /应 答 的 认证 模式 ; 二 是 基于 PKI 
体系 的 认证 模式 。 


6.1.2 常用 身份 认证 机 制 


曾经 有 这 样 一 个 漫画 ,一 条 狗 在 计算 机 面前 一 边 打字 ,一 边 对 另 一 条 狗 说 :“ 在 互联 网 
上 ,没有 人 知道 你 是 一 个 人 还 是 一 条 狗 1" 这 个 漫画 说 明了 在 互联 网 上 很 难 识别 身份 。 那 么 
在 计算 机 系统 和 网 络 系统 里 ,如 何 确认 访问 者 的 真实 身份 ? 如 何 通过 技术 手段 保证 用 户 的 
物理 身份 与 数字 身份 相对 应 呢 ? 作为 实现 网 络 安全 的 重要 机 制 之 一 ,这 是 身份 认证 必须 要 
解决 的 问题 。 在 安全 的 网 络 通信 中 ,涉及 的 通信 各 方 必须 通过 某 种 形式 的 身份 认证 机 制 来 
证 明 他 们 的 身份 ,验证 用 户 的 身份 与 所 宣称 的 是 否 一 致 ,然后 才能 实现 对 于 不 同 用 户 的 访问 
控制 和 记录 。 下 面 介绍 几 种 常用 的 身份 认证 机 制 。 

1. 简单 认证 机 制 

最 简单 的 认证 机 制 就 是 口令 认证 。 口 令 认证 的 识别 过 程 如 下 。 

(1) 用 户 将 口令 传送 给 计算 机 。 

(2) 计算 机 完成 口令 单 向 函数 值 的 计算 。 

(3) 计算 机 把 单 向 函数 值 和 机 器 存储 的 值 比较 。 
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然而 ,基于 口令 的 认证 方法 存在 下 面 几 点 不 足 。 

(1) 用 户 每 次 访问 系统 时 都 要 以 明文 方式 输入 口令 ,这 时 很 容易 泄密 。 

(2) 口令 在 传输 过 程 中 可 能 被 截获 。 

(3) 系统 中 所 有 用 户 的 口令 以 文件 形式 存储 在 认证 方 ,攻击 者 可 以 利用 系统 中 存在 的 
漏洞 获取 系统 的 口令 文件 。 

(4) 用 户 在 访问 多 个 不 同安 全 级 别 的 系统 时 ,都 要 求 用 户 提供 口令 ,用 户 为 了 记忆 的 方 
便 , 往 往 采 用 相同 的 口令 。 而 低 安 全 级 别 系统 的 口令 更 容易 被 攻击 者 获得 ,从 而 用 来 对 高 安 
全 级 别 系统 进行 攻击 。 

(5) 只 能 进行 单 向 认证 , 即 系统 可 以 认证 用 户 , 而 用 户 无 法 对 系统 进行 认证 。 攻 击 者 可 
能 伪装 成 系统 骗取 用 户 的 口令 。 

对 于 第 2 点 ,系统 可 以 对 口令 进行 加 密 传输 。 对 于 第 3 点 ,系统 可 以 对 口令 文件 进行 不 
可 逆 加 密 。 尽 管 如 此 ,攻击 者 还 是 可 以 利用 一 些 工具 很 容易 地 将 口令 和 口令 文件 解密 。 

对 此 改进 的 方法 是 采用 一 次 性 口令 (One-Time Password,OTP) 机 制 。 一 次 性 口令 机 
制 确保 在 每 次 认证 中 所 使 用 的 口令 不 同 , 以 对 付 重 放 攻 击 。 确 定 口 令 的 方法 有 三 种 : 一 种 
是 两 端 共 同 拥 有 一 串 随机 口令 ,在 该 串 的 某 一 位 置 保持 同步 ; 第 二 种 是 两 端 共 同 使 用 一 个 
随机 序列 生成 器 ,在 该 序列 生成 器 的 初 态 保持 同步 ; 第 三 种 是 使 用 时 戳 , 两 端 维持 同步 的 
时 钟 。 

2. 基于 DCE/Kerberos 的 认证 机 制 

基于 DCE/Kerberos 的 身份 认证 是 通过 用 户 在 安全 服务 器 上 登录 ,获得 身份 的 证 明 。 
当然 在 登录 前 该 用 户 必须 已 经 注册 ,同时 在 客户 端 必须 运行 DCE 的 客户 端 软件 。 

DCE/Kerberos 是 一 种 被 证 明 为 非常 安全 的 双向 身份 认证 技术 。DCE/Kerberos 的 身 
份 认证 强调 了 客户 机 对 服务 器 的 认证 ; 而 其 他 产品 ,只 解决 了 服务 器 对 客户 机 的 认证 。 以 
自动 取款 机 ATM 为 例 , 客 户 必须 防止 来 自 服务 端的 欺骗 ,因为 如 果 存 在 欺骗 ,那么 客户 将 
泄露 自己 的 账户 信息 。 据 报道 (国外 ), 几 年 前 ,一 些 骗 子 在 一 个 大 型 商场 安装 了 一 个 假 的 自 
动 提 款 机 , 当 人 们 插入 银行 卡 并 输入 密码 时 ,这 台 机 器 就 记录 下 相关 的 信息 ,然后 反馈 出 此 
卡 无 效 的 信息 。 随 后 骗子 再 自己 制作 一 个 伪造 的 银行 卡 , 用 刚才 的 密码 ,到 合法 的 自动 提 款 
机 上 提 款 。 

Kerberos 是 一 种 为 网 络 通信 提供 可 信 第 三 方 服务 的 面向 开放 系统 的 认证 机 制 。 每 当 
用 户 (Client) 申 请 得 到 某 服务 程序 (Server) 的 服务 时 ,用 户 和 服务 程序 会 首先 向 Kerberos 
要 求 认 证 对 方 的 身份 ,认证 建立 在 用 户 (Client) 和 服务 程序 (Server) 对 Kerberos 的 信任 的 
基础 上 。 在 申请 认证 时 ,Client 和 Server 都 可 看 成 是 Kerberos 认证 服务 的 用 户 , 为 了 和 其 
他 服务 的 用 户 区 别 ,Kerberos 用 户 统称 为 Principle。Principle 既 可 以 是 用 户 也 可 以 是 某 项 
服务 。 认 证 双方 与 Kerberos 的 关系 可 用 图 6. 2 表示 。 


/ 、 

2 ~、 
~、 
、 


Principle/Client Principle/Server 


图 6.2 认证 双方 与 Kerberos 的 关系 
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当 用 户 登 录 到 工作 站 时 ,Kerberos 对 用 户 进 行 初始 认证 ,通过 认证 的 用 户 可 以 在 整个 
登录 时 间 得 到 相应 的 服务 。Kerberos 既 不 依赖 用 户 登 录 的 终端 ,也 不 依赖 用 户 所 请 求 的 服 
务 的 安全 机 制 , 它 本 身 提 供 了 认证 服务 器 来 完成 用 户 的 认证 工作 。 时 间 戳 (代表 时 间 的 大 数 
字 ) 技 术 被 应 用 于 后 来 的 Kerberos 中 来 防止 重 放 攻 击 。 

Kerberos 保存 Principle 及 其 密 钥 的 数据 库 。 私 有 密 钥 (Private Key) 只 被 Kerberos 和 
拥有 它 的 Principle 知道 ,在 用 户 或 服务 登记 时 和 Kerberos 协议 生成 。 使 用 私有 密 钥 ， 
Kerberos 可 以 创建 消息 使 一 个 Principle 相信 另 一 个 Principle 的 真实 性 ,进行 认证 工作 。 
Kerberos 还 产生 一 种 临时 密 钥 , 称 作 会 话 密 钥 (Session Key) ,通信 双方 用 在 具体 的 通信 中 

Kerberos 提供 三 种 安全 等 级 。 

(1) 只 在 网 络 开始 连接 时 进行 认证 ,认为 连接 建立 起 来 后 的 通信 是 可 靠 的 。 认 证 式 网 
络 文件 系统 (Authenticated Network File System) 使 用 此 种 安全 等 级 。 

(2) 安全 消息 (Sage Messages) 传 递 : 对 每 次 消息 都 进行 认证 工作 ,但 是 不 保证 每 条 消 
息 不 被 泄露 。 

(3) 私有 消息 (Private Messages) 传 递 : 不 仅 对 每 条 消息 进行 认证 ,而 且 对 每 条 消息 进 
行 加 密 。Kerberos 在 发 送 密码 时 就 采用 私有 消息 模式 。 

3. 基于 公共 密 钥 的 认证 机 制 

目前 在 Internet 上 也 使 用 基于 公共 密 钥 的 安全 策略 进行 身份 认证 ,具体 而 言 ,使 用 符合 
X. 509 的 身份 证 明 。 使 用 这 种 方法 必须 有 一 个 第 三 方 的 授权 证 明 (Certificates of 
Authority,CA) 中 心 为 客户 签发 身份 证 明 。 客 户 和 服务 器 各 自从 CA 获取 证 明 , 并 且 信 任 
该 授权 证 明 中 心 。 在 会 话 和 通信 时 首先 交换 身份 证 明 ,其 中 包含 了 将 各 自 的 公 钥 交 给 对 方 ， 
然后 才 使 用 对 方 的 公 钥 验证 对 方 的 数字 签名 、 交 换 通信 的 加 密 密 钥 等 。 在 确定 是 否 接受 对 
方 的 身份 证 明 时 ,还 需 检 查 有 关 服 务 器 ,以 确认 该 证 明 是 否 有 效 。 

在 一 般 的 实现 机 制 中 , 常 将 基于 公共 密 钥 的 SSL 策略 集成 在 一 起 ,多 用 在 Web 应 用 方 
面 。 认 证 服务 器 通过 公共 密 钥 管 理 服务 器 (PKMS) 与 SSL 连接 起 来 。PKMS 实际 是 身份 
认证 网 关 和 建立 基于 SSL 的 加 密 通道 ,客户 端 不 必 使 用 客户 端 软件 ,可 使 用 SSL 浏览 器 登 
录 到 PKMS,PKMS 将 用 户 的 身份 映射 成 系统 用 户 身 份 并 且 通 过 RPC 进行 传输 ,也 就 是 将 
SSL 的 用 户 标识 传递 给 认证 服务 器 。PKMS 是 用 来 与 Internet 用 户 之 间 临 时 建立 起 相互 信 
任 的 安全 会 话 过 程 ,然后 将 Internet 用 户 身份 映射 到 系统 访问 控制 机 制 可 以 管理 的 用 户 
身份 。 

在 公共 密 钥 管 理 服务 器 PKMS 和 使 用 支持 SSL、S-HTTP 的 浏览 器 用 户 之 间 的 身份 验 
证 是 建立 在 公开 密 钥 加 密 数 字 签 名 和 授权 证 明之 上 的 。 数 字 签 名 工作 如 下 : 

。 用 户 产生 一 段 文字 信息 然后 对 这 段 文字 信息 进行 单 向 不 可 道 的 变换 。 用 户 再 用 自 
己 的 秘密 密 钥 对 生成 的 文字 变换 进行 加 密 , 并 将 原始 的 文字 信息 和 加 密 后 的 文字 变 
换 结 果 传 送 给 指定 的 接收 者 。 这 段 经 过 加 密 的 文字 变换 结果 就 被 称 作 数字 签名 。 

。 文字 信息 和 加 密 后 的 文字 变换 的 接收 者 将 收 到 的 文字 信息 进行 同样 的 单项 不 可 道 
的 变换 。 同 时 也 用 发 送 方 的 公开 密 钥 对 加 密 的 文字 变换 进行 解密 。 如 果 解 密 后 的 
文字 变换 和 接收 方 自己 产生 的 文字 变换 一 致 ,那么 接收 方 就 可 以 相信 对 方 的 身份 ， 
因为 只 有 发 送 方 的 秘密 密 钥 能 够 产生 加 密 后 的 文字 变换 。 

。 要 向 发 送 方 验证 接收 方 的 身份 ,接收 方 根据 自己 的 密 钥 创 建 一 个 新 的 数字 签名 然后 
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重复 上 述 过 程 。 

一 旦 两 个 用 户 互相 验证 了 身份 ,他 们 就 可 以 交换 用 来 加 密 数据 的 密 钥 , 如 DES 加密 密 
钥 ( 公 开 密 钥 加 密 方法 对 于 大 量 的 数据 加 密 来 说 速度 太 慢 ) 。 浏 览 器 应 该 能 够 在 类 似 的 交换 
过 程 使 用 它 的 公开 /秘密 密 钥 组 合 对 来 验证 它 的 身份 。 但 是 目前 还 没有 出 现 支持 浏览 器 身 
份 验证 的 产品 。 

为 了 利用 数字 签名 ,接收 方 必 须 拥 有 发 送 方 的 公开 密 钥 。 公 开 密 钥 是 通过 授权 证 明 来 
发 布 的 。PKMS 把 它 的 经 公开 密 钥 加 密 的 CA 发 送 给 浏览 器 。( 多 数 公 钥 产品 只 使 用 了 服 
务 器 方 的 身份 验证 ,所 以 在 CA 中 只 需要 包含 PKMS 的 公开 密 钥 ) 这 些 授 权证 明 是 由 可 信 
赖 的 第 三 方 生成 的 并 且 经 过 可 信赖 的 第 三 方 用 秘密 密 钥 * 数 字 签 名 ”的 。 

用 户 的 浏览 器 (或 者 其 他 客户 方 的 程序 ) 要 接收 由 受信 赖 的 第 三 方 签 发 的 正确 的 CA 就 
必须 要 配置 受信 赖 的 第 三 方 的 公开 密 钥 (浏览 器 用 户 使 用 配置 好 受信 赖 的 第 三 方 公开 密 钥 
的 浏览 器 ,来 验证 CA 中 的 受信 赖 的 第 三 方 的 数字 签名 ) 。 如 果 该 浏览 器 没有 配置 受信 赖 的 
第 三 方 的 公开 密 钥 , 它 就 无 法 验证 安全 网 关 的 身份 。 一 些 浏览 器 预先 配置 有 受信 赖 的 第 三 
方 公开 密 钥 ,并 且 用 户 不 能 增加 其 他 的 签发 CA 的 受信 赖 的 第 三 方 。 这 限制 了 将 无 关公 司 
推出 的 浏览 器 的 用 户 与 公司 拥有 的 服务 器 之 间 建 立 相 互信 任 关系 的 能 力 。 

基于 DCE/Kerberos 和 公共 密 钥 的 用 户 身份 认证 是 非常 安全 的 用 户 认 证 形式 ,但 是 , 它 
们 实现 起 来 比较 复杂 ,要 求 通信 的 次 数 多 ,而 且 计 算 量 较 大 ,下 面 介绍 一 种 简易 、 高 效 、 安 全 
的 用 户 身份 认证 机 制 一 一 挑战 /应 答 式 身份 认证 。 

4. 基于 挑战 /应 答 的 认证 机 制 

顾名思义 ,基于 挑战 /应 答 (Challenge/Response) 方 式 的 身份 认证 机 制 就 是 每 次 认证 时 
认证 服务 器 端 都 给 客户 端 发 送 一 个 不 同 的 “挑战 ? 字 串 ,客户 端 程序 收 到 这 个 “挑战 ? 字 串 后 ， 
做 出 相应 的 “应 答 ”。 

使 用 者 只 需 安 装 客户 程序 ,申请 成 为 合法 用 户 ,运行 客户 程序 ,使 用 自己 的 用 户 名 /口令 
字 进 行 认 证 ,就 可 以 安全 地 使 用 网 络 了 。 可 以 说 ,用 户 使 用 起 来 是 很 方便 的 。 以 下 是 一 个 典 
型 的 认证 过 程 。 

@ 客户 向 认证 服务 器 发 出 请 求 ,要求 进行 身份 认证 。 

@ 认证 服务 器 从 用 户 数据 库 中 查询 用 户 是 否 是 合法 的 用 户 , 若 不 是 , 则 不 做 进一步 
处 理 。 

@) 认证 服务 器 内 部 产生 一 个 随机 数 , 作 为 “提问 ”, 发 送 给 客户 。 

@ 客户 将 用 户 名 字 和 随机 数 合 并 .使 用 单 向 Hash 函数 (例如 MD5 算法 ) 生 成 一 个 字 
节 串 作为 应 答 。 

@ 认证 服务 器 将 应 答 串 与 自己 的 计算 结果 比较 , 若 二 者 相同 , 则 通过 一 次 认证 ; 否则 ， 
认证 失败 。 

@) 认证 服务 器 通知 客户 认证 成 功 或 失败 。 

以 后 的 认证 由 客户 不 定时 地 发 起 ,过 程 中 没有 了 客户 认证 请 求 一 步 。 两 次 认证 的 时 间 
间隔 不 能 太 短 ,否则 就 给 网 络 .客户 和 认证 服务 器 带 来 太 大 的 开销 ; 也 不 能 太 长 ,否则 不 能 
保证 用 户 不 被 他 人 盗用 IP 地 址 ,一 般 定 为 1 一 2 分 钟 。 

密 钥 的 分 配 由 维护 模块 负责 , 当 用 户 进 行 注 册 时 ,自行 设 定 自己 的 口令 字 。 用 户 的 密 钥 
由 口令 字 生 成 。 一 个 口令 字 必 须 经 过 两 次 口令 字 检 查 。 第 一 次 由 注册 程序 检查 ,强制 口令 
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字 必 须 有 足够 的 长 度 ( 如 8 个 字符 )。 口 令 字 被 加 密 后 送 入 数据 库 中 ,这 个 口令 字 标 记 为 “未 
检查 的 ”。 第 二 次 ,由 离线 的 口令 字 检 查 工具 进行 检查 ,将 弱 口令 字 进 行 标 记 , 当 下 一 次 用 户 
认证 时 ,认证 服务 器 将 强制 用 户 修 改口 令 字 。 密 钥 的 在 线 修改 由 认证 服务 器 完成 , 它 的 过 程 
与 认证 过 程 基本 类 似 。 

提问 -握手 认证 协议 (Challenge Handshake Authentication Protocol,CHAP) 采 用 的 就 
是 挑战 /应 答 方法 , 它 通过 三 次 握手 (3-Way Handshake) 方 式 对 被 认证 方 的 身份 进行 周期 性 
的 认证 。 其 认证 过 程 是 : 第 一 步 , 在 通信 双方 链 路 建立 阶段 完成 后 ,认证 方 (Authenticator) 
向 被 认证 方 (Peer) 发 送 一 个 提问 CChallenge) 消息 ; 第 二 步 ,被 认证 方向 认证 方 发 回 一 个 响 
应 (Response) ,该 响应 由 单 向 散 列 函数 计算 得 出 , 单 向 散 列 函数 的 输入 参数 由 本 次 认证 的 
标识 符 、 秘 诀 (Secret) 和 提问 构成 ; 第 三 步 , 认 证 方 将 收 到 的 响应 与 它 自己 根据 认证 标识 符 、 
秘诀 和 提问 计算 出 的 散 列 函 数值 进行 比较 ,车 相符 则 认证 通过 ,向 被 认证 方 发 送 “ 成 功 ” 消 
息 ,否则 ,发 送 “ 失 败 ” 消 息 , 断 开 连 接 。 在 双方 通信 过 程 中 系统 将 以 随机 的 时 间 间 隔 重复 上 
述 三 步 认 证 过 程 。 

CHAP 采用 的 单 向 散 列 函数 算法 可 保证 由 已 知 的 提问 和 响应 不 可 能 计算 出 秘诀 。 同 
时 由 于 认证 方 的 提问 值 每 次 都 不 一 样 ,而 且 是 不 可 预测 的 ,因而 具有 很 好 的 安全 性 。 

CHAP 具有 以 下 优点 。 

@D 通过 不 断 地 改变 认证 标识 符 和 提问 消息 的 值 来 防止 回放 (Playback) 攻 击 。 

@ 利用 周期 性 的 提问 防止 通信 双方 在 长 期 会 话 过程 中 被 攻击 。 

@ 虽然 CHAP 进行 的 是 单 向 认证 ,但 在 两 个 方向 上 进行 CHAP 协商 ,也 能 实现 通信 双 
方 的 相互 认证 。 

@ CHAP 可 用 于 认证 多 个 不 同 的 系统 。 

CHAP 的 不 足 之 处 是 : CHAP 认证 的 关键 是 秘诀 .CHAP 的 秘诀 以 明文 形式 存放 和 使 
用 ,不 能 利用 通常 的 不 可 逆 加 密 口令 数据 库 。 并 且 CHAP 的 秘诀 是 通信 双方 共享 的 ,这 一 
点 类 似 于 对 称 密 钥 体 制 , 因 此 给 秘诀 的 分 发 和 更 新 带 来 了 麻烦 ,要 求 每 个 通信 对 都 有 一 
享 的 秘诀 ,这 不 适合 大 规模 的 系统 。 

著名 的 Radius 认证 机 制 也 是 采用 这 种 方式 , 它 的 设计 思路 是 在 客户 和 服务 器 之 间 采 用 
UDP 进行 交互 ,使 之 轻型 化 ; 采用 挑战 /应 答 方式 进行 认证 ,避免 口令 字 在 网 络 上 传输 ; 认 
证 不 定期 地 进行 ,并 且 每 次 认证 的 报 文 不 同 ,防止 被 他 人 “ 重 放 ”攻击 ,也 保证 用 户 不 会 被 他 
人 冒 用 地 址 而 受 损 。 

随 着 Internet 技术 尤其 是 网 络 安全 技术 的 发 展 , 必 将 涌现 出 更 多 更 好 的 用 户 认证 机 制 。 


6.2 访问 控制 概述 


一 个 经 过 计算 机 系统 识别 和 验证 后 的 用 户 ( 合 法 用 户 ) 进 入 系统 后 ,并 非 意 味 着 他 具有 
对 系统 所 有 资源 的 访问 权限 。 例 如 ,在 一 个 关系 数据 库 系统 中 ,可 能 已 建立 了 若干 张 表 , 每 
一 张 表 中 都 存放 了 许多 的 数据 ,用 户 对 表 中 的 数据 一 般 来 说 可 以 进行 如 下 几 种 操作 : 查询 、 
插入 (添加 ) ,修改 和 删除 。 但 在 一 个 实际 的 应 用 系统 中 ,并 不 是 每 一 个 用 户 对 每 一 张 表 中 的 
每 一 个 数据 都 有 以 上 这 些 操 作 的 权限 ,用 户 对 数据 访问 的 权限 必须 受到 一 定 的 控制 。 比 如 


第 6 章 身份 认证 与 访问 控制 151 


在 一 个 超市 管理 系统 中 ,限制 收银 员 可 以 进行 查询 、 添 加 操作 ,主管 可 以 进行 查询 、 修 改 、 删 

访问 控制 的 任务 就 是 要 根据 一 定 的 原则 对 合法 用 户 的 访问 权限 进行 控制 ,以 决定 他 可 
以 访问 哪些 资源 以 及 以 什么 样 的 方式 访问 这 些 资源 。 访问 控 制 是 信息 安全 保障 机 制 的 核心 
内 容 , 它 是 实现 数据 保密 性 和 完整 性 机 制 的 主要 手段 。 


6.2.1 访问 控制 的 基本 概念 


访问 控制 是 为 了 限制 访问 主体 (或 称 为 发 起 者 ,是 一 个 主动 的 实体 ; 如 用 户 、 进 程 和 服 
务 等 ) ,对 访问 客体 (需要 保护 的 资源 ) 的 访问 权限 ,从 而 使 计算 机 系统 在 合法 范围 内 使 用 ; 
访问 控制 机 制 决定 用 户 及 代表 一 定 用 户 利益 的 程序 能 做 什么 ,及 做 到 什么 程度 。 为 了 方便 
后 续 章 节 的 叙述 ,首先 介绍 一 下 访问 控制 相关 的 概念 和 术语 。 

1. 主体 

主体 (Subject) 是 指 主动 的 实体 ,是 访问 的 发 起 者 , 它 造 成 了 信息 的 流动 和 系统 状态 的 
改变 ,主体 通常 包括 人 、 进 程 和 设备 。 

2. 客体 

客体 (Object) 是 指 包含 或 接受 信息 的 被 动 实体 ,客体 在 信息 流动 中 的 地 位 是 被 动 的 ,是 
处 于 主体 的 作用 之 下 ,对 客体 的 访问 意味 着 对 其 中 所 包含 信息 的 访问 。 客 体 通常 包括 文件 、 
设备 、 信 号 量 和 网 络 结 点 等 。 而 且 , 通 常 我 们 把 主体 也 看 做 是 一 个 客体 。 因 为 当 一 个 程序 存 
放 在 内 存 或 硬盘 上 时 ,那么 它 就 与 其 他 数据 一 样 被 当 作 客体 ,可 供 其 他 主体 访问 ,但 当 这 个 
程序 运行 时 , 它 就 成 为 主体 ,可 以 去 访问 别 的 客体 。 

3. 访问 

访问 (Access) 是 使 信息 在 主体 和 客体 之 间 流 动 的 一 种 交互 方式 。 访问 包括 读 取 数 据 、 
更 改 数据 、 运 行程 序 和 发 起 连接 等 。 

4. 访问 控制 

访问 控制 (Access Control) 规 定 了 主体 对 客体 访问 的 限制 ,并 在 身份 识别 的 基础 上 , 根 
据 身 份 对 提出 资源 访问 的 请 求 加 以 控制 。 访问 控 制 决定 了 谁 能 够 访问 系统 ,能 访问 系统 的 
何 种 资源 以 及 如 何 使 用 这 些 资源 。 适 当 的 访问 控制 能 够 阻止 未 经 允许 的 用 户 有 意 或 无 意 地 
获取 数据 。 访 问 控制 所 要 控制 的 行为 主要 有 以 下 几 类 : 读 取 数据 、 运 行 可 执行 文件 ,发 起 网 
络 连 接 等 。 访 问 控制 的 手段 包括 用 户 识别 代码 口令、 登录 控制 .资源 授权 (例如 用 户 配置 文 
件 .资源 配置 文件 和 控制 列表 ) 授权 核查 .日 志和 审计 等 。 访 问 控制 是 对 信息 系统 资源 进行 
保护 的 重要 措施 ,也 是 计算 机 系统 最 重要 和 最 基础 的 安全 机 制 。 


6.2.2 访问 控制 技术 


根据 控制 手段 和 具体 目的 的 不 同 ,人 们 将 访问 控制 技术 划分 为 几 个 不 同 的 级 别 , 包 括 入 
网 访问 控制 .网 络 权 限 控制 .目录 级 控制 .属性 控制 以 及 网 络 服务 器 的 安全 控制 等 。 

入 网 访问 控制 为 网 络 访问 提供 了 第 一 层 访 问 控 制 ,通过 控制 机 制 来 明确 能 够 登录 到 服 
务 器 并 获取 网 络 资源 的 合法 用 户 、 用 户 入 网 的 时 间 和 准许 入 网 的 工作 站 等 。 基 于 用 户 名 和 
口令 的 用 户 入 网 访问 控制 可 分 为 三 个 步骤 : 用 户 名 的 识别 与 验证 .用 户口 令 的 识别 与 验证 
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和 用 户 账号 的 缺 省 限制 检查 。 如 果 有 任何 一 个 步骤 未 通过 检验 ,该 用 户 便 不 能 进入 该 网 络 。 
对 网 络 用 户 的 用 户 名 和 口令 进行 验证 是 防止 非法 访问 的 第 一 道 防线 。 为 保证 口令 的 安全 
性 ,用 户口 令 不 能 显示 在 显示 屏 上 ,口令 长 度 应 不 少 于 6 个 字符 ,口令 字符 最 好 是 数字 字母 
和 其 他 字符 的 混合 ,用 户口 令 必须 经 过 加 密 。 用 户 还 可 采用 一 次 性 用 户口 令 , 也 可 用 便携 式 
验证 器 (如 智能 卡 ) 来 验证 用 户 的 身份 。 网 络 管理 员 可 以 控制 和 限制 普通 用 户 的 账号 使 用 、 
访问 网 络 的 时 间 和 方式 。 用 户 账号 应 只 有 系统 管理 员 才 能 建立 。 用 户口 令 应 是 每 用 户 访 问 
网 络 所 必须 提交 的 “证 件 ”、 用 户 可 以 修改 自己 的 口令 ,但 系统 管理 员 应 该 可 以 控制 口令 的 以 
下 几 个 方面 的 限制 : 最 小 口令 长 度 、 强 制 修改 口令 的 时 间 间 隔 , 口 令 的 唯一 性 ,口令 过 期 失 
效 后 允许 人 网 的 宽 限 次 数 。 用 户 名 和 口令 验证 有 效 之 后 ,再 进一步 履行 用 户 账 号 的 缺 省 限 
制 检查 。 网 络 应 能 控制 用 户 登 录入 网 的 站 点 、 限 制 用户 入 网 的 时 间 、 限 制 用 户 入 网 的 工作 站 
数量 。 当 用 户 对 交 费 网 络 的 访问 “资费 ”用 尽 时 ,网 络 还 应 能 对 用 户 的 账号 加 以 限制 ,用 户 此 
时 应 无 法 进入 网 络 访问 网 络 资源 。 网 络 应 对 所 有 用 户 的 访问 进行 审计 。 如 果 多 次 输入 口令 
不 正确 , 则 认为 是 非法 用 户 的 入 侵 ,应 给 出 报警 信息 。 由 于 用 户 名 口令 验证 方式 容易 被 攻 
破 ,目前 很 多 网 络 都 开始 采用 基于 数字 证 书 的 验证 方式 。 

网 络 权限 控制 是 针对 网 络 非 法 操作 所 提出 的 一 种 安全 保护 措施 。 能 够 访问 网 络 的 合法 
用 户 被 划分 为 不 同 的 用 户 组 ,不 同 的 用 户 组 被 赋予 不 同 的 权限 。 访 问 控制 机 制 明确 了 不 同 
用 户 组 可 以 访问 哪些 目录 、 子 目录 、 文 件 和 其 他 资源 等 ,指明 不 同 用 户 对 这 些 文件 .目录 、 设 
备 能 够 执行 哪些 操作 等 。 实 现 方式 主要 有 两 种 : 受托 者 指派 和 继承 权限 屏蔽 (IRM)。 受 托 
者 指派 控制 用 户 和 用 户 组 如 何 使 用 网 络 服 务 器 的 目录 、 文 件 和 设备 。 继 承 权限 屏蔽 相当 于 
一 个 过 滤器 ,可 以 限制 子 目 录 从 父 目 录 那 里 继承 哪些 权限 。 我 们 可 以 根据 访问 权限 将 用 户 
分 为 以 下 几 类 : 特殊 用 户 ( 即 系统 管理 员 ); 一 般 用 户 , 系 统管 理 员 根据 他 们 的 实际 需要 为 
他 们 分 配 操 作 权 限 ; 审计 用 户 ,负责 网 络 的 安全 控制 与 资源 使 用 情况 的 审计 。 用 户 对 网 络 
资源 的 访问 权限 可 以 用 访问 控制 表 来 描述 。 

目录 级 安全 控制 是 针对 用 户 设 置 的 访问 控制 ,控制 用 户 对 目录 、 文 件 和 设备 的 访问 。 用 
户 在 目录 一 级 指定 的 权限 对 所 有 文件 和 子 目录 有 效 ,用户 还 可 以 进一步 指定 对 目录 下 的 子 
目录 和 文件 的 权限 。 对 目录 和 文件 的 访问 权限 一 般 有 8 种 : 系统 管理 员 权 限 、 读 权限 、 写 权 
限 、 创 建 权 限 、 删 除权 限 、 修 改 权限 、 文 件 查找 权限 和 访问 控制 权限 。 用 户 对 文件 或 目标 的 有 
效 权限 取决 于 以 下 两 个 因素 : 用 户 的 受托 者 指派 、 用 户 所 在 组 的 受托 者 指派 ,继承 权限 屏蔽 
取消 的 用 户 权 限 。 一 个 网 络 管理 员 应 当 为 用 户 指 定 适当 的 访问 权限 ,这 些 访问 权限 控制 着 
用 户 对 服务 器 的 访问 。8 种 访问 权限 的 有 效 组 合 可 以 让 用 户 有 效 地 完成 工作 ,同时 又 能 有 
效 地 控制 用 户 对 服务 器 资源 的 访问 ,从 而 加 强 了 网 络 和 服务 器 的 安全 性 。 

属性 安全 控制 在 权限 安全 的 基础 上 提供 更 进一步 的 安全 性 。 当 用 户 访问 文件 .目录 和 
网 络 设备 时 ,网 络 系统 管理 员 应 该 给 出 文件 .目录 的 访问 属性 ,网 络 上 的 资源 都 应 预先 标 出 
安全 属性 ,用户 对 网 络 资源 的 访问 权限 对 应 一 张 访问 控制 表 , 用 以 表明 用 户 对 网 络 资源 的 访 
问 能 力 。 属 性 设置 可 以 覆盖 已 经 指定 的 任何 受托 者 指派 和 有 效 权 限 。 属 性 能 够 控制 以 下 几 
个 方面 的 权限 : 向 某 个 文件 写 数据 ,复制 文件 .删除 目录 或 文件 .查看 目录 和 文件 、 执 行文 
件 、 隐 含 文件 .共享 、 系 统 属性 等 ,避免 发 生 非 法 访问 的 现象 。 

网 络 服务 器 的 安全 控制 是 由 网 络 操作 系统 负责 ,但 这 些 访 问 控制 的 机 制 比较 粗糙 。 网 
络 服务 器 的 安全 控制 包括 可 以 设置 口令 锁定 服务 器 控制 台 ,以 防止 非法 用 户 修改 ,删除 重要 
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信息 或 破坏 数据 。 此 外 ,还 可 以 设 定 服务 器 登录 时 间 限 制 .非法 访问 者 检测 和 关闭 的 时 间 间 
总 之 ,访问 控制 可 以 用 来 保证 资源 不 被 非法 使 用 和 访问 ,是 网 络 安全 防范 和 保护 的 主要 
策略 ,也 是 保证 计算 机 系统 安全 最 重要 的 核心 策略 之 一 。 


6.2.3 访问 控制 原理 


访问 控制 的 目的 是 为 了 防止 非法 用 户 进入 系统 及 合法 用 户 对 系统 资源 的 非法 使 用 ,也 
就 是 说 ,访问 控制 的 基本 任务 是 限制 访问 主体 对 访问 客体 的 访问 权限 ,保证 主体 对 客体 的 所 
有 直接 访问 都 是 经 过 授权 的 。 因 此 访问 控制 包括 两 个 重要 过 程 : 通过 “鉴别 
(Authentication) ”来 验证 主体 的 合法 身份 ; 通过 “授权 (Authorization)” 来 限制 用 户 可 以 对 
某 一 类 型 的 资源 进行 何 种 类 型 的 访问 。 

例如 , 当 用 户 试 图 访问 您 的 Web 服务 器 时 ,服务 器 执行 几 个 访问 控制 进程 来 识别 用 户 
并 确定 允许 的 访问 级 别 。 其 访问 控制 过 程 简 述 如 下 。 

(1) 客户 请 求 服务 器 上 的 资源 。 

(2) 将 依据 IIS 中 IP 地 址 限制 检查 客户 机 的 IP 地 址 。 如 果 IP 地 址 是 禁止 访问 的 , 则 
请 求 就 会 失败 并 且 给 用 户 返回 “403 禁止 访问 ”消息 。 

(3) 如 果 服 务 器 要 求 身份 验证 , 则 服务 器 从 客户 端 请 求 身份 验证 信息 。 浏 览 器 既 提 示 
用 户 输入 用 户 名 和 密码 ,也 可 以 自动 提供 这 些 信息 (在 用 户 访问 服务 器 上 任何 信息 之 前 ,可 
以 要 求 用 户 提供 有 效 的 Microsoft Windows 用 户 账户 、 用 户 名 和 密码 。 该 标识 过 程 就 称 为 
“身份 验证 *"。 可 以 在 网 站 或 FTP 站 点 目录 或 文件 级 别 设置 身份 验证 。 可 以 使 用 Internet 
信息 服务 (IIS 提供 的 ) 身 份 验证 方法 来 控制 对 网 站 和 FTP 站 点 的 访问 ) 。 

(4) IIS 检查 用 户 是 否 拥有 有 效 的 Windows 用 户 账户 。 如 果 用 户 没 有 提供 , 则 请 求 就 
会 失败 并 且 给 用 户 返 回 “401 拒绝 访问 ”消息 。 

(5) IIS 检查 用 户 是 否 具 有 请 求 资源 的 Web 权限 。 如 果 用 户 没 有 提供 , 则 请 求 就 会 失 
败 并 且 给 用 户 返 回 “403 禁止 访问 ”消息 。 

(6) 添加 任何 安全 模块 ,如 Microsoft ASP. NET 模拟 。 

(7) IIS 检查 有 关 静 态 文件 、Active Server PagesC(ASP) 和 通用 网 关 接口 (CGI) 文 件 上 资 
源 的 NTFS 权限 。 如 果 用 户 不 具备 资源 的 NTFS 权限 , 则 请 求 就 会 失败 并 且 给 用 户 返 回 
“401 拒绝 访问 ”消息 。 

(8) 如 果 用 户 具有 NTFS 权限 , 则 可 完成 该 请 求 。 

通常 使 用 访问 控制 矩阵 来 限制 主体 对 客体 的 访问 权限 。 访 问 控制 机 制 可 以 用 一 个 三 元 
组 (S,O,A) 来 表示 。 其 中 .S 代表 主体 集合 ， rsd A 代表 属性 集合 ,A 集合 中 列 
出 了 主体 S; 对 客体 O; 所 人 允许 的 访问 权限 。 这 一 关系 可 以 用 一 个 访问 控制 矩阵 来 表示 。 


ao do … ao So 
Adio a -ns Si 

站 二 | lO 
J Su 


其 中 ,s;(i 一 0,1,…,m) 是 主体 S 对 所 有 客体 的 权限 集合 ,O;G 王 0,1,…:,7z) 是 客体 O 对 所 有 
主体 的 访问 权限 集合 。 即 对 于 任意 一 个 ES, 都 存在 一 个 相应 的 由 EA4A, 且 几 王 PCS:,O) ,其 
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中 己 是 访问 权限 的 函数 。az (i 一 0,1,…,m; j 二 0,1,…,n) 就 代表 了 主体 S; 可 以 对 客体 O) 
执行 什么 样 的 操作 。 

访问 控制 涉及 的 领域 很 广 , 方 法 也 很 多 ,根据 控制 策略 的 不 同 ,访问 控制 可 以 划分 为 自 
主 访问 控制 .强制 访问 控制 和 基于 角色 的 访问 控制 三 种 。 下 面 各 小 节 将 分 别 介绍 这 几 种 不 
同类 型 的 访问 控制 策略 。 


6.3 自主 访问 控制 


自主 访问 控制 (Discretionary Access Control,DAC) 是 指 对 某 个 客体 具有 拥有 权 ( 或 控 
制 权 ) 的 主体 能 够 将 对 该 客体 的 一 种 访问 权 或 多 种 访问 权 自 主 地 授予 其 他 主体 ,并 在 随后 的 
任何 时 刻 将 这 些 权限 回收 。 这 种 控制 是 自主 的 ,也 就 是 指 具 有 授予 某 种 访问 权力 的 主体 (用 
户 ) 能 够 自己 决定 是 否 将 访问 控制 权限 的 某 个 子 集 授 予 其 他 的 主体 或 从 其 他 主体 那里 收回 
他 所 授予 的 访问 权限 。 

通常 数据 库 中 的 数据 可 以 是 由 各 个 不 同 的 用 户 存 人 进去 的 ,这 些 用 户 可 以 代表 个 人 也 
可 以 代表 某 个 团体 或 一 级 组 织 , 存 入 某 个 数据 的 用 户 ,我 们 称 他 为 该 数据 的 拥有 者 。 也 就 是 
说 ,在 自主 访问 控制 中 ,数据 的 拥有 者 有 权 决 定 系统 中 的 哪些 用 户 对 他 的 数据 具有 访问 权 ， 
以 及 具有 什么 样 的 访问 权 , 系 统 中 的 用 户 要 对 某 个 数据 进行 某 种 方式 的 访问 时 ,必须 是 经 过 
该 数据 的 拥有 者 授权 了 的 。 

例如 ,假设 某所 大 学 使 用 计算 机 系统 进行 学 生 信息 的 管理 。 教 务 处 在 系统 中 建立 了 一 
张 表 , 存 人 了 每 个 学 生 的 有 关 信息 , 如 姓名 、 年 龄 .年 级 专业. 系 别 .成 绩 、 受 过 哪些 奖励 和 处 
分 等 。 教 务 处 不 允许 每 个 学 生 都 能 看 到 所 有 这 些 信息 ,他 可 能 按 这 样 一 个 原则 来 控制 ,每 个 
学 生 可 以 看 到 自己 的 有 关 信 息 ,但 不 允许 看 别人 的 ,每 个 班 的 老师 可 以 随时 查看 自己 班 的 学 
生 的 有 关 信 息 ,但 不 能 查看 其 他 班 学 生 的 信息 。 并 且 教 务 处 可 限制 教务 处 以 外 的 所 有 用 户 
不 得 修改 这 些 信息 ,也 不 能 插 和 信和 删除 表 中 的 信息 ,这些 信 息 的 拥有 者 是 教务 处 。 教 务 处 可 
按照 上 述 原则 对 系统 中 的 用 户 ( 该 大 学 的 所 有 老师 和 学 生 ) 进 行 授权 。 于 是 其 他 用 户 只 能 根 
据 教 务 处 的 授权 来 对 这 张 表 进 行 访问 。 

在 计算 机 中 如 何 实现 上 述 要 求 呢 ? 根据 教务 处 的 授权 规则 ,计算 机 中 相应 存放 有 一 张 
表 , 将 教务 处 的 授权 情况 记录 下 来 ,我 们 称 它 为 授权 表 , 以 后 当 任 何 用 户 对 教务 处 的 数据 要 
进行 访问 时 ,系统 首先 查 这 张 表 , 检 查 教务 处 是 否 对 他 进行 了 授权 ,如 果 有 授权 ,计算 机 就 执 
行 其 操作 ; 若 没 有 , 则 拒绝 执行 。 

自主 访问 控制 中 ,用 户 可 以 针对 被 保护 对 象 制定 自己 的 保护 策略 。 因 此 自主 访问 控制 
是 一 种 比较 宽松 的 访问 控制 ,可 以 非常 灵活 地 对 策略 进行 调整 。 由 于 其 易 用 性 与 可 扩展 性 ， 
自主 访问 控制 机 制 经 常 被 用 于 商业 系统 。 比 如 在 很 多 操作 系统 和 数据 库 系统 中 通常 都 采用 
自主 访问 控制 ,来 规定 访问 资源 的 用 户 或 应 用 的 权限 。 虽 然 自主 访问 控制 是 保护 计算 机 系 
统 资源 不 被 非法 访问 的 一 种 有 效 手 段 , 但 是 , 它 有 一 个 明显 的 缺点 : 这 种 控制 是 自主 的 , 虽 
然 这 种 自主 性 为 用 户 提 供 了 很 大 的 灵活 性 ,但 同时 也 带 来 了 严重 的 安全 问题 。 假 设 主体 A 
将 某 个 访问 权限 授予 了 B, 没 有 授予 C, 但 是 由 于 自主 访问 控制 策略 本 身 没 有 对 已 经 具有 权 
限 的 用 户 如 何 使 用 和 传播 权限 强加 任何 限制 ,因而 C 可 能 从 B 那里 得 到 该 访问 权限 ,这 使 
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得 本 来 不 具 访 问 权限 的 C 也 能 进行 访问 了 。 由 此 看 出 ,这 种 权限 的 传递 可 能 会 给 系统 带 来 
安全 隐患 。 比 如 ,在 一 个 交互 系统 中 ,用 户 首先 登录 ,然后 启动 某 个 进程 为 该 用 户 做 某 项 工 
作 , 这 个 进程 就 继承 了 该 用 户 的 属性 ,包括 访问 权限 ,而 这 种 访问 权限 也 可 能 是 它 本 身 不 应 
具有 的 访问 权限 ,这 样 就 可 能 破坏 系统 的 安全 性 。 因 此 从 系统 的 整体 利益 出 发 ,必须 采取 更 
强 有 力 的 访问 控制 手段 ,这 就 是 强制 访问 控制 。 


6.4 强制 访问 控制 


所 谓 强 制 访问 控制 (Mandatory Access Control,MAC) 是 指 计算 机 系统 根据 使 用 系统 
的 机 构 事 先 确定 的 安全 策略 ,对 用 户 的 访问 权限 进行 强制 性 的 控制 。 

强制 访问 控制 用 来 保护 系统 确定 的 对 象 ,对 此 对 象 用 户 不 能 进行 更 改 。 也 就 是 说 ,系统 
独立 于 用 户 行为 强制 执行 访问 控制 ,用 户 不 能 改变 他 们 的 安全 级 别 或 对 象 的 安全 属性 。 这 
样 的 访问 控制 规则 通常 对 数据 和 用 户 按 照 安全 等 级 划分 标签 ,访问 控制 机 制 通过 比较 安全 
标签 来 确定 的 授予 还 是 拒绝 用 户 对 资源 的 访问 。 强 制 访 问 控制 进行 了 很 强 的 等 级 划分 ,所 
以 经 常用 于 军事 用 途 。 

例如 美国 国防 部 提出 的 多 级 安全 策略 ,是 军事 安全 策略 的 一 种 数学 描述 ,以 计算 机 能 实 
现 的 形式 定义 , 它 就 是 一 种 强制 访问 控制 。 下 面 简要 地 介绍 一 下 这 种 强制 访问 控制 方法 ( 示 
例如 图 6. 3 所 示 )。 


周 读 取 文 件 读 取 文件 工 
拒绝 元 许 一 


文件 : 导弹 计划 用 户 : Kevin 文件 : 电话 短 
安全 级 别 : 高 密 安全 级 别 : 机 密 安全 级 别 : 秘密 


6.3 强制 访问 控制 示例 


计算 机 系统 对 系统 中 每 一 个 主体 (用 户 或 代表 用 户 的 进程 ) 分 配 一 个 安全 级 (或 称 安全 
属性 ) ,主体 的 安全 等 级 标志 着 用 户 不 会 将 信息 透露 给 未 经 授权 的 用 户 ; 对 用 户 访 问 的 对 象 
( 亦 称 客体 ) ,如 数据 .存储 器 段 .目录 和 网 络 结 点 等 ,也 分 配 一 个 安全 级 ,给 予 客体 的 安全 等 
级 能 反映 出 客体 本 身 的 敏感 程度 。 当 主体 对 某 客体 进行 访问 时 ,系统 要 对 这 个 主体 和 客体 
的 安全 级 进行 比较 ,来 决定 用 户 能 否 访问 该 客体 。 主 、 客 体 的 安全 级 由 两 部 分 组 成 : 密级 和 
部 门 属性 。 其 访问 规则 可 简单 地 描述 为 “向 下 读 ,向 上 写 ”。 即 

(1) 仅 当 主体 的 安全 级 三 客体 的 安全 级 时 ,主体 可 读 访 问 客体 。 

(2) 仅 当 主体 的 安全 级 三 客体 的 安全 级 时 ,主体 可 写 访问 客体 。 

也 就 是 说 ,主体 安全 级 别 必 须 高 于 被 读 取 对 象 的 级 别 , 同 时 主体 安全 级 别 必须 低 于 被 写 
和 对象 的 级 别 。 这 个 策略 的 安全 原则 是 信息 只 能 由 低 安全 级 流向 高 安全 级 ,而 不 能 由 高 安 
全 级 流向 低 安 全 级 。 这 一 安全 策略 特别 适合 于 军事 部 门 和 政府 办 公 部 门 。 

强制 访问 控制 在 自主 访问 控制 的 基础 上 ,增加 了 对 网 络 资源 的 属性 划分 ,规定 不 同属 性 
下 的 访问 权限 。 一 般 安 全 属性 可 分 为 4 个 级 别 : 最 高 秘密 级 (Top Secret)、 机 密级 
(Secret)、 秘 密级 (Confidential) 以 及 无 级 别 级 (Unclassified) 。 甚 级别 顺序 为 T 之 S>C 二 U， 


人 
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规定 如 下 的 4 种 强制 访问 控制 策略 : 

下 读 : 用 户 级 别 大 于 文件 级 别 的 读 操作 。 

上 写 : 用 户 级 别 低 于 文件 级 别 的 写 操作 。 

下 写 : 用 户 级 别 大 于 文件 级 别 的 写 操作 。 

上 读 : 用 户 级 别 低 于 文件 级 别 的 读 操作 。 

这 些 策略 保证 了 信息 流 的 单 向 性 ,上 读 -下 写 方式 保证 了 数据 的 完整 性 ,上 写 - 下 读 方式 
则 保证 了 信息 的 安全 性 。 下 面 举 一 例 来 具体 说 明 。 

例如 , 某 单位 部 分 行政 机 构 如 图 6.4 所 示 。 


校长 


职 退 档 教 教 财 财 进 实 设 
工 休 案 学 学 务 务 出 验 备 
科 科 科 行 研 一 - 日 室 科 
政 究 科 科 科 营 
科 科 理 
| | | 
下 工 
帮 作 
人 人 
仙 仙 


6.4 某 单位 部 分 行政 机 构 示 意图 


假设 计算 机 系统 中 的 数据 的 密级 分 为 一 般 、 秘 密 、 机 密 和 绝密 4 个 级 别 , 人 为 地 规定 : 
一 般 二 秘密 二 机 密 二 绝密 

对 用 户 的 密级 规定 为 ,校长 可 以 看 所 有 的 数据 ,处 长 只 能 看 机 密 及 以 下 的 数据 , 科 长 只 
能 看 秘密 及 以 下 的 数据 ,一 般 工 作 人 员 只 能 看 一 般 的 数据 。 

现 定 义 校长 的 安全 级 : 密级 为 绝密 ,部 门 属性 为 所 有 的 部 门 。 

即 Cek 二 (绝密 ,{ 人 事 处 ,教务 处 ,财务 处 ,设备 处 }) 

教务 处 长 的 安全 级 Cg 三 (机密 , {教务 处 )) 

财务 处 长 的 安全 级 Cw 三 (机 密 ,{ 财 务 处 }) 

财务 一 科 长 的 安全 级 C_y# 三 (秘密 ,{ 财 务 处 )) 

财务 处 工作 人 员 的 安全 级 Cr 二 (一 般 ,{ 财 务 处 )) 

假设 财务 一 科 长 产生 了 一 份 工 作文 件 A, 文 件 A 的 安全 级 定义 为 与 一 科 长 的 安全 级 相 
同 , 即 CA 一 (秘密 ,{ 财 务 处 ))。 

那么 ,对 于 文件 A, 只 有 校长 和 财务 处 长 能 看 到 ,而 教务 处 长 不 能 看 ,尽管 教务 处 长 的 密 
级 是 机 密级 ,可 以 看 秘密 级 的 文件 ,但 教务 处 长 的 部 门 属性 仅 是 {教务 处 } ,他 无 权 看 财务 处 
的 信息 。 

再 比如 ,Web 服务 以 “秘密 ”的 安全 级 别 运 行 。 假 如 Web 服务 器 被 攻击 ,攻击 者 在 目标 
系统 中 以 “秘密 ”的 安全 级 别 进行 操作 ,他 将 不 能 访问 系统 中 安全 级 为 机密” 及 “高 密 ” 的 
数据 。 
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强制 访问 控制 技术 引入 了 安全 管理 员 机 制 ,增加 了 安全 保护 层 , 可 防止 用 户 无 意 或 有 意 
使 用 自主 访问 的 权利 。 使 得 强制 访问 控制 的 安全 性 比 自 主 访问 控制 的 安全 性 有 了 提高 ,但 
灵活 性 却 要 差 一 些 。 例 如 , 某 些 高 安全 等 级 的 操作 系统 规定 了 强制 访问 控制 策略 ,通过 给 系 
统 用 户 和 文件 分 配 安全 属性 ,强制 性 地 规定 该 属性 下 的 权限 , 低 安 全 级 别 不 能 访问 高 安全 级 
别 的 信息 ,不 同 组 别 间 的 信息 不 能 互 访 等 。 

强制 访问 控制 和 自主 访问 控制 有 时 会 结合 使 用 。 在 一 个 既 具 有 自主 访问 控制 ,又 具有 
强制 访问 控制 的 计算 机 系统 中 , 当 一 个 主体 要 访问 某 个 客体 时 ,他 必须 既 通过 自主 访问 控制 
的 检查 ,又 要 通过 强制 访问 控制 的 检查 ,只 有 这 两 道 检查 都 通过 了 ,他 才能 对 这 个 客体 进行 
访问 。 例 如 ,系统 可 能 首先 执行 强制 访问 控制 来 检查 用 户 是 否 有 权限 访问 一 个 文件 组 (这 种 
保护 是 强制 的 ,也 就 是 说 : 这 些 策略 不 能 被 用 户 更 改 ) ,然后 再 针对 该 组 中 的 各 个 文件 制定 
相关 的 访问 控制 列表 (自主 访问 控制 策略 )。 


6.5 基于 角色 的 访问 控制 


强制 访问 控制 和 自主 访问 控制 这 两 种 传统 的 访问 控制 方法 中 ,都 是 由 主体 和 访问 权限 
直接 发 生 关 系 , 主 要 针对 用 户 个 人 授予 权限 ,主体 始终 是 和 特定 的 实体 捆绑 对 应 的 。 例 如 ， 
用 户 以 用 户 名 注册 ,系统 分 配 一 定 的 权限 ,该 用 户 将 始终 以 该 用 户 名 访问 系统 ,直至 销 户 。 
但 在 现实 社会 中 ,这 种 访问 控制 方式 可 能 会 出 现 一 些 问题 : 在 用 户 注册 到 销 户 这 期 间 , 用 户 
的 权限 需要 变更 时 必须 在 系统 管理 员 的 授权 下 才能 进行 ,因此 很 不 方便 ; 大 型 应 用 系统 的 
访问 用 户 往往 种 类 繁多 .数量 巨大 并 且 动态 变化 , 当 用 户 量 大 量 增 加 时 , 按 每 个 用 户 分 配 一 
个 注册 账号 的 方式 将 使 得 系统 管理 变 得 复杂 ,工作 量 急剧 增加 , 且 容 易 出 错 ; 另外 ,也 很 难 
实现 系统 的 层次 化 分 权 管 理 , 尤 其 是 当 同一 用 户 在 不 同 场合 处 在 不 同 的 权限 层次 时 ,系统 管 
理 很 难 实现 (除非 同一 用 户 以 多 个 用 户 名 注册 ) 。 

而 在 实际 工作 中 ,不同 的 用 户 可 能 具有 相同 的 权限 ,如 人 事 处 档案 科 的 工作 人 员 可 以 阅 
读 处 理 档 案 的 权限 是 相同 的 ,但 其 他 的 人 若 不 获得 特别 的 批准 ,是 不 允许 接近 这 些 档案 的 。 

为 了 反映 实际 工作 中 的 这 种 需要 ,克服 传统 的 访问 控制 方法 出 现 的 问题 ,进一步 提高 管 
理 效率 ,基于 角色 的 访问 控制 (Role Based Access Control, RBAC) 方 法 应 运 而 生 。 它 的 基 
本 思想 是 在 用 户 和 访问 权限 之 间 引 入 角色 的 概念 ,将 用 户 和 角色 联系 起 来 ,通过 对 角色 的 授 
权 来 控制 用 户 对 系统 资源 的 访问 。 这 种 方法 可 根据 用 户 的 工作 职责 设置 若干 角色 ,不同 的 
用 户 可 以 具有 相同 的 角色 ,在 系统 中 享有 相同 的 权力 ,同一 个 用 户 又 可 以 同时 具有 多 个 不 同 
的 角色 ,在 系统 中 行使 多 个 角色 的 权力 。 例 如 , 某 医 院 有 许多 外 科 和 内 科 医 生 , 外 科 医 生 与 
内 科 医 生 的 处 方 权 限 有 些 是 不 相同 的 ,但 所 有 内 科 医 生 的 权限 都 是 相同 的 ,所 有 外 科 医 生 的 
权限 也 都 是 相同 的 ,因此 ,我 们 可 以 在 医疗 系统 中 设置 内 科 医 生 角色 和 外 科 医 生 角 色 。 当 工 
作 职 责 变动 时 ,可 按 新 的 角色 进行 重新 授权 。 

在 RBAC 的 描述 中 ,涉及 有 用户、 角色 .许可 会话、 活跃 角色 .组 等 基本 概念 ,下 面 分 别 介 
= 和 

在 RBAC 中 ,许可 (Privilege, 也 叫 权 限 ) 就 是 允许 对 一 个 或 多 个 客体 执行 操作 。 角 色 
(Role) 就 是 许可 的 集合 。RBAC 的 基本 思想 是 : 授权 给 用 户 (User) 的 访问 权限 通常 由 用 户 
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在 一 个 组 织 中 担当 的 角色 来 确定 。RBAC 与 访问 控制 列表 (ACL) 不 同 , 访 问 控制 列表 直接 
将 主体 和 受 控 客体 相 联 系 ,而 RBAC 在 中 间 加 入 了 角色 ,通过 角色 沟通 主体 与 客体 。RBAC 
中 ,许可 被 授权 给 角色 ,角色 被 授权 给 用 户 , 用 户 不 直接 与 许可 关联 。 这 种 分 层 的 优点 是 当 
主体 发 生变 化 时 ,只 需 修改 主体 与 角色 之 间 的 关联 而 不 必修 改 角 色 与 客体 的 关联 。 

RBAC 对 访问 权限 的 授权 由 管理 员 统 一 管理 ,而 且 授权 规定 是 强加 给 用 户 的 ,这 是 一 种 
非 自主 型 集中 式 访 问 控制 方式 。 

用 户 是 一 个 静态 的 概念 ,会 话 (Session) 则 是 一 个 动态 的 概念 。Session 在 RBAC 中 是 
比较 隐 星 的 一 个 元 素 ,一 次 会 话 是 用 户 的 一 个 活跃 进程 , 它 代 表 用 户 与 系统 交互 。 标 准 上 
说 ,每 个 Session 是 一 个 映射 ,一 个 用 户 到 多 个 Role 的 映射 。 当 一 个 用 户 激活 他 所 有 角色 的 
一 个 子 集 的 时 候 , 建 立 一 个 Session。 每 个 Session 和 单个 的 User 关联 ,并 且 每 个 User 可 以 
关联 到 一 或 多 个 Session。 用 户 与 会 话 是 一 对 多 关系 ,一 个 用 户 可 同时 打开 多 个 会 话 。 一 个 
会 话 构 成 一 个 用 户 到 多 个 角色 的 映射 , 即 会 话 激活 了 用 户 授权 角色 集 的 某 个 子 集 , 这 个 子 集 
称 为 活跃 角色 集 。 活 跃 角色 集 决定 了 本 次 会 话 的 许可 集 。 

实际 上 ,RBAC 认为 权限 授权 是 Who、What、How 的 问题 。 在 RBAC 方法 中 , Who、 
What、How 构成 了 访问 权限 三 元 组 ,也 就 是 "Who 对 What(Whbich) 进 行 How 的 操作 ”。 

。 Who: 权限 的 拥有 者 或 主体 (如 Principal、User、Group、Role、Actor 等 ) 。 

。 What: 权限 针对 的 对 象 或 资源 (Resource Class) 。 

。 How: 具体 的 权限 (Privilege, 正 向 授权 与 负 向 授权 ) 。 

。 Operator: 操作 。 表 明 对 What 的 How 操作 。 也 就 是 Privilege 十 Resource。 

。 Role: 角色 。 一 定数 量 的 权限 的 集合 。 权 限 分 配 的 单位 与 载体 ,目的 是 隔离 User 

与 Privilege 的 逻辑 关系 。 

。 Group: 用 户 组 。 权 限 分 配 的 单位 与 载体 。 权 限 不 考虑 分 配给 特定 的 用 户 而 是 给 
组 。 组 可 以 包括 组 (以 实现 权限 的 继承 ) ,也 可 以 包含 用 户 , 组 内 用 户 继承 组 的 权限 。 
User 与 Group 是 多 对 多 的 关系 。Group 可 以 层次 化 ,以 满足 不 同 层 级 权限 控制 的 
要 求 。 

基于 角色 的 访问 控制 (RBAC) 是 目前 国际 上 流行 的 先进 的 安全 访问 控制 方法 。 它 通过 
分 配 和 取消 角色 来 完成 用 户 权 限 的 授予 和 取消 ,并 且 提 供 角 色 分 配 规则 。 角 色 访 问 控制 与 
访问 者 的 身份 认证 密切 相关 ,通过 确定 该 合法 访问 者 的 身份 来 确定 访问 者 在 系统 中 对 哪 类 
信息 有 什么 样 的 访问 权限 。 一 个 访问 者 可 以 充当 多 个 角色 ,一 个 角色 也 可 以 由 多 个 访问 者 
担任 。 没 有 严格 的 等 级 概念 ,根据 用 户 在 系统 中 承担 的 职务 或 工作 的 职责 ,分 配 权 限 、 进 行 
控制 。 安 全 管理 人 员 可 以 根据 需要 定义 各 种 角色 ,并 设置 合适 的 访问 权限 ,而 用 户 根据 其 责 
任 和 资历 再 被 指派 为 不 同 的 角色 。 这 样 ,整个 访问 控制 过 程 就 分 成 两 个 部 分 , 即 访问 权限 与 
角色 相关 联 , 角 色 再 与 用 户 关联 ,从 而 实现 用 历 疝 入 币 | 《访问 
户 与 访问 权限 的 逻辑 分 离 。 基 于 角色 的 访问 
控制 的 一 般 模型 如 图 6.5 所 示 。 

从 图 6. 5 可 以 看 出 ,RBAC 的 关注 点 在 
于 角色 与 用 户 及 权限 之 间 的 关系 。 关 系 的 左 ”| 用 户 上 
右 两 边 都 是 Many-to-Many 关系 ,就 是 User 
可 以 有 多 个 Role, Role 可 以 包括 多 个 User。 必 划 全 


资源 


5. 访 问 请 求 
1. 认 证 
2 分 派 


3. 请 求 
4 分 派 


“| 权限 
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在 RBAC 系统 中 ,User 实际 上 是 在 扮演 角色 (Role) ,可 以 用 Actor 来 取代 User。 考 虑 
到 多 人 可 以 有 相同 权限 ,RBAC 引入 了 Group 的 概念 。Group 同样 也 看 做 是 Actor。 而 
User 的 概念 就 具体 到 一 个 人 。Group 和 User 都 和 组 织 机 构 有 关 , 但 不 是 组 织 机 构 。 二 者 
在 概念 上 是 不 同 的 。 组 织 机 构 是 物理 存在 的 公司 结构 的 抽象 模型 ,包括 部 门 、 人 、 职 位 等 ,而 
权限 模型 是 对 抽象 概念 描述 。 引 入 Group 这 个 概念 ,除了 用 来 解决 多 人 相同 角色 问题 外 ， 
还 用 以 解决 组 织 机 构 的 另 一 种 授权 问题 。 例 如 .A 部 门 的 新 闻 我 希望 所 有 的 A 部 门 的 人 都 
能 看 。 有 了 这 样 一 个 A 部 门 对 应 的 Group, 就 可 直接 授权 给 这 个 Group。 

Role 作为 一 个 用 户 (CUser) 与 权限 (Privilege) 的 代理 层 , 解 耦 了 权限 和 用 户 的 关系 ,所 
有 的 授权 应 该 给 予 Role 而 不 是 直接 给 User 或 Group。Privilege 是 权限 ,由 Operation 和 
Resource 组 成 ,表示 对 Resource 的 一 个 Operation。 例 如 ,对 于 新 闻 的 删除 操作 。Role- 
Privilege 是 Many-to-Many 的 关系 ,这 就 是 权限 的 核心 。 

在 RBAC 模型 系统 中 ,每 个 用 户 进 入 系统 时 得 到 一 个 会 话 , 一 个 用 户 会 话 可 能 激活 的 
角色 是 该 用 户 的 全 部 角色 的 子 集 。 对 此 用 户 而 言 . 在 一 个 会 话 内 可 获得 全 部 被 激活 的 角色 
所 包含 的 访问 权限 。 

不 像 ACL 只 支持 低级 的 用 户 / 许 可 关系 ,RBAC 支持 角色 /许可 ,角色 /角色 的 关系 ,由 
于 RBAC 的 访问 控制 是 在 更 高 的 抽象 级 别 上 进行 的 ,系统 管理 员 可 以 通过 角色 定义 .角色 
分 配 .角色 设置 .角色 分 层 . 角 色 限 制 来 实现 组 织 的 安全 策略 。 

首先 ,系统 管理 员 定 义 系统 中 的 各 种 角色 ,每 种 角色 可 以 完成 一 定 的 职能 ,不 同 的 用 户 
根据 其 职能 和 责任 被 赋予 相应 的 角色 ,一 旦 某 个 用 户 成 为 某 角 色 的 成 员 , 则 此 用 户 可 以 完成 
该 角色 所 具有 的 职能 。 也 就 是 说 ,管理 员 无 须知 道 某 一 员工 叫 什 么 名 字 ,而 是 根据 员工 在 单 
位 的 角色 和 身份 来 定义 。 比 如 做 市 场 的 员工 ,就 只 能 拥有 市 场 部 员工 的 权限 ; 做 销售 的 ,就 
只 能 访问 销售 人 员 才 能 看 到 的 内 容 。 另 外 ,根据 组 织 的 安全 策略 特定 的 岗位 定义 为 特定 的 
角色 ,特定 的 角色 授权 给 特定 的 用 户 。 例 如 可 以 定义 某 些 角色 接近 DAC, 某 些 角色 接近 
MAC。 系 统管 理 员 也 可 以 根据 需要 设置 角色 的 可 用 性 以 适应 某 一 阶段 企业 的 安全 策略 , 例 
如 设置 所 有 角色 在 所 有 时 间 内 可 用 ,特定 角色 在 特定 时 间 内 可 用 ,用 户 授权 角色 的 子 集 在 特 
定时 间 内 可 用 等 。 当 系统 中 增加 新 的 应 用 功能 时 可 以 在 角色 中 添加 新 的 权限 。 此 外 ,可 撤 
销 用 户 的 角色 或 从 角色 中 撤销 一 些 原 有 的 权限 。 

组 织 结构 中 通常 存在 一 种 上 、 下 级 关系 ,上 一 级 拥有 下 一 级 的 全 部 权限 。 为 此 ,RBAC 
引入 了 角色 分 层 的 概念 。 角 色 分 层 把 角色 组 织 起 来 ,能 够 很 自然 地 反映 组 织 内 部 人 员 之 间 
的 职权 、 责 任 关 系 。 角 色 之 间 也 可 存在 继承 关系 ,层次 之 间 存 在 高 对 低 的 继承 关系 , 即 上 级 
角色 可 继承 下 级 角色 的 部 分 或 全 部 权限 ,从 而 形成 了 角色 层次 结构 。 

下 面 通过 一 个 具体 实例 来 说 明基 于 角色 的 访问 控制 策略 。 

例如 在 一 个 学 校 管理 系统 中 ,可 以 定义 校长 、 院 长 .系统 管理 员 、 学 生 、 老 师 、 处 长 ,会计 
和 出 纳 员 等 角色 。 其 中 ,担任 系统 管理 员 的 用 户 具 有 维护 系统 文件 的 责任 和 权限 ,而 不 管 这 
个 用 户 具 体 是 谁 。 系 统管 理 员 也 可 能 是 由 某 个 老师 兼任 ,这 样 他 就 有 具有 两 种 角色 。 但 是 出 
于 责任 分 离 .需要 对 一 些 权利 集中 的 角色 组 合 进行 限制 ,比如 规定 会 计 和 出 纳 员 不 能 由 同一 
个 用 户 担任 。 可 以 根据 实际 需要 进一步 设计 如 下 的 访问 策略 。 

@ 允许 系统 管理 员 查 询 系统 信息 和 开关 系统 ,但 不 允许 读 或 修改 学 生 的 信息 。 

@ 允许 一 个 学 生 查 询 自己 的 信息 ,但 不 能 查询 其 他 任何 信息 或 修改 任何 信息 。 


人 
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@@ 允许 老师 查询 所 有 学 生 的 信息 ,但 只 能 在 规定 的 时 间 和 范围 内 的 修改 学 生 信息 。 

角色 控制 既 可 以 在 自主 访问 控制 中 运用 ,也 可 以 在 强制 访问 控制 中 运用 。 

另外 ,基于 角色 的 访问 控制 方法 具有 以 下 显著 的 特点 。 

@ 由 于 基于 角色 的 访问 控制 不 需要 对 用 户 一 个 一 个 的 进行 授权 ,而 是 通过 对 某 个 角色 
授权 ,来 实现 对 一 组 用 户 的 授权 ,因此 简化 了 系统 的 授权 机 制 。 一 旦 员工 的 角色 发 生变 化 ， 
管理 人 员 只 需要 调整 员工 的 角色 ,对 该 员工 的 授权 就 可 以 相应 地 发 生变 化 ,而 无 须 一 个 系 
统一 个 模块 地 去 调整 了 。 由 于 角色 /权限 之 间 的 变化 比 角色 /用 户 关系 之 间 的 变化 相对 要 
慢 得 多 ,因此 ,基于 角色 的 管理 使 用 起 来 非常 方便 , 减 小 了 授权 管理 的 复杂 性 ,降低 了 管理 
开销 。 

@ 基于 角色 的 访问 控制 可 以 很 好 的 描述 角色 层次 关系 ,能 够 很 自然 地 反映 组 织 内 部 人 
员 之 间 的 职权 、 责 任 关系 。 并 且 给 用 户 分 配角 色 不 需要 很 多 技术 ,可 以 由 行政 管理 人 员 来 执 
行 , 而 给 角色 配置 权限 的 工作 比较 复杂 ,需要 一 定 的 技术 ,可 以 由 专门 的 技术 人 员 来 承担 ,但 
是 不 让 他 们 具有 给 用 户 分 配角 色 的 权限 ,这 与 现实 中 的 情况 正好 一 致 。 

@ 利用 基于 角色 的 访问 控制 可 以 实现 最 小 特权 原则 。 在 访问 控制 中 应 遵循 的 一 条 很 
重要 的 安全 原则 是 “最 小 特权 原则 ”或 称 为 “ 知 所 必需 ”, 也 就 是 说 对 于 任何 一 个 主体 来 说 ,他 
只 应 该 具有 为 完成 他 的 工作 职责 需要 的 最 小 的 权力 。 最 小 特权 原则 对 于 满足 完整 性 目标 是 
非常 重要 的 ,这 一 原则 的 应 用 还 可 限制 事故 错误. 未 授权 使 用 带 来 的 损害 。 最 小 特权 原则 
要 求 用 户 只 具有 执行 一 项 工作 所 必需 的 权限 ,他 所 拥有 的 权力 不 能 超过 他 执行 工作 时 所 需 
的 权限 。 要 保证 最 小 特权 就 要 求 验 证 用 户 的 工作 是 什么 ,要 确定 执行 该 项 工作 所 要 求 的 权 
限 最 小 集合 ,并 限制 用 户 的 权限 域 。 系 统管 理 员 可 以 根据 组 织 内 的 规章 制度 .职员 的 分 工 等 
设计 拥有 不 同 权限 的 角色 ,只 有 角色 需要 执行 的 操作 才 授 权 给 角色 , 当 一 个 主体 要 访问 某 资 
源 时 ,如 果 该 操作 不 在 主体 当前 活跃 角色 的 授权 操作 之 内 ,该 访问 将 被 拒绝 。 若 拒绝 了 不 是 
主体 职责 的 事务 , 则 那些 被 拒绝 的 权限 就 不 能 绕 过 阻止 安全 性 策略 。 通 过 使 用 RBAC, 很 容 
易 满足 一 般 系统 的 用 户 执 行 最 小 权限 。 

@ RBAC 机 制 可 被 系统 管理 员 用 于 执行 职责 分 离 的 策略 。 职 责 分 离 是 指 有 些许 可 不 
能 同时 被 同一 用 户 获 得 ,以 避免 安全 上 的 漏洞 。 例 如 收 款 员 、 出 纳 员 、 审 计 员 应 由 不 同 的 用 
户 担任 。 在 RBAC 中 ,职责 分 离 可 以 有 静态 和 动态 两 种 实现 方式 。 静 态 职责 分 离 只 有 当 一 
个 角色 与 用 户 所属 的 其 他 角色 彼此 不 互 斥 时 ,这 个 角色 才能 授权 给 该 用 户 。 动 态 职责 分 离 
只 有 当 一 个 角色 与 一 主体 的 任何 一 个 当前 活跃 角色 都 不 互 斥 时 该 角色 才能 成 为 该 主体 的 另 
一 个 活路 角色 。 角 色 的 职责 分 离 也 称 为 角色 互 斥 ,是 角色 限制 的 一 种 。 职 责 分 离 是 保障 安 
全 的 一 个 基本 原则 ,对 于 反 欺 诈 行 为 是 非常 有 效 的 , 它 是 在 真实 系统 中 最 重要 的 想法 。 

@ 基于 角色 的 访问 控制 可 以 灵活 地 支持 企业 的 安全 策略 ,并 对 企业 的 变化 有 很 大 的 伸 
缩 性 。 由 于 多 级 安全 访问 控制 是 严格 地 根据 安全 级 的 比较 来 控制 主体 对 信息 的 访问 权 的 ， 

不 能 完全 反映 现实 工作 中 的 模式 ,因为 信息 有 时 需要 从 高 向 低 流 或 横向 流动 。 所 以 利用 对 
“角色 ?授权 的 方式 可 以 使 强制 访问 控制 实现 起 来 较为 灵活 。 

总 之 ,RBAC 作为 传统 访问 机 制 的 理想 候选 近年 来 得 到 广泛 的 研究 ,并 以 其 灵活 性 、 方 
便 性 和 安全 性 在 许多 系统 尤其 是 大 型 数据 库 系 统 的 权限 管理 中 得 到 应 用 。 今 后 ,由 于 大 规 
模 网 络 和 分 布 式 环境 的 广泛 应 用 ,网 络 和 分 布 式 系统 中 的 访问 控制 技术 将 成 为 未 来 的 研究 
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热点 。 另 外 ,组 织 和 系统 结构 的 复杂 化 要 求 动态 灵活 的 安全 策略 。 因 此 研究 和 发 展 基于 角 
色 的 访问 控制 技术 将 具有 非常 广阔 的 前 景 。 


6.6 关键 术语 


身份 认证 (Identity Authentication) 

主体 (Subject) 

客体 (Object) 

访问 控制 (Access Control) 

自主 访问 控制 (Discretionary Access Control) 

强制 访问 控制 (Mandatory Access Control) 

基于 角色 的 访问 控制 (Role Based Access Control) 


6.7 习 题 
解释 身份 认证 的 基本 概念 。 


简 述 使 用 口令 进行 身份 认证 的 优 缺 点 。 

解释 访问 控制 的 基本 概念 。 

有 哪 几 种 访问 控制 策略 ? 

什么 是 强制 访问 控制 MAC 策略 ? 它 的 适用 场合 是 什么 ? 
什么 是 自主 访问 控制 DAC 策略 ? 它 的 安全 性 如 何 ? 

为 什么 MAC 能 阻止 特洛伊 木马 ? 

简 述 什么 是 基于 角色 的 访问 控制 RBAC。 
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本 章 导 读 

后 本 章 主 要 介绍 几 种 常见 的 网 络 安全 协议 Kerberos、SSL .IPSec 和 PGP 等。 

如 Kerberos 是 一 种 基于 可 信赖 的 第 三 方 的 认证 系统 。Kerberos 提供 了 一 种 在 开放 式 
网 络 环境 下 进行 身份 认证 的 方法 , 它 使 网 络 上 的 用 户 可 以 相互 证 明 自 己 的 身份 。 

后 SSL( 安 全 套 接 字 层 ) 协 议 是 一 种 基于 Web 应 用 的 安全 协议 ,主要 目的 是 在 两 个 通信 
应 用 程序 之 间 提 供 私 密 性 和 可 靠 性 ,使 应 用 程序 在 通信 时 不 用 担心 被 窃听 和 纂 改 。 
这 个 过 程 主要 通过 三 个 元 素来 完成 : SSL 握手 协议 .SSL 记录 协议 .SSL 告警 协议 。 

所 IPSec 协议 在 网 络 层 上 实施 安全 保护 ,这 使 得 所 有 使 用 IP 协议 进行 数据 传输 的 应 用 
系统 和 服务 都 可 以 使 用 IPSec', 而 不 必 对 这 些 应 用 系统 和 服务 本 身 做 任何 修改 。 
IPSec 采用 端 - 对 - 端 加 密 模式 ,其 基本 工作 原理 是 : 发 送 方 在 数据 传输 前 ( 即 到 达 网 
线 之 前 ) 对 数据 实施 加 密 , 在 整个 传输 过 程 中 , 报 文 都 是 以 密 文 方式 传输 ,直到 数据 
到 达 目 的 结 点 , 才 由 接收 端 对 其 进行 解密 。IPSec 协议 组 包括 网 络 认证 协议 (AH)、 
封装 安全 载荷 协议 (ESP)、 密 钥 管 理 协议 (IKE) 和 用 于 网 络 认 证 及 加 密 的 一 些 算 

PGP 主 要 用 于 安全 电子 邮件 。PGP 提供 5 个 方面 的 功能 : 鉴别 、 保 密 性 、 压 缩 、 
E-mail 兼容 性 和 分 段 功能 。 


TCP/IP 是 一 个 开放 协议 , 随 着 Internet 的 快速 发 展 , 越 来 越 多 的 人 开始 使 用 TCP/IP 
协议 ,这 使 得 它 的 各 种 安全 脆弱 性 也 逐步 体现 出 来 ,整个 网 络 面临 着 诸如 窃听 .数据 算 改 、 身 
份 欺骗 、 次 用 口令 、 中 间 人 攻击 和 拒绝 服务 攻击 等 多 种 安全 威胁 。 针 对 这 些 安全 问题 ,目前 
不 可 能 设计 一 种 全 新 的 网 络 协议 来 取代 TCP/IP, 因 此 可 行 的 解决 方法 是 在 TCP/IP 参考 
模型 的 各 层 增 加 一 些 安 全 协议 来 保证 安全 。 

在 网 络 通信 中 最 常用 的 、 基 本 的 安全 协议 按照 其 完成 的 功能 可 以 分 成 以 下 三 类 。 

。 密 钥 交换 协议 : 一 般 情况 下 是 在 参与 协议 的 两 个 或 者 多 个 实体 之 间 建 立 共 享 的 秘 

密 , 通 常用 于 建立 在 一 次 通信 中 所 使 用 的 会 话 密 钥 。 协 议 可 以 采用 对 称 密码 体制 ， 
也 可 以 采用 非 对 称 密码 体制 ,例如 Diffie-Hellman 密 钥 交 换 协议 。 

。 认证 协议 : 认证 协议 中 包括 实体 认证 (身份 认证 ) 协 议 .消息 认证 协议 .数据 源 认证 
和 数据 目的 认证 协议 等 .用 来 防止 假冒 . 算 改 、 和 否认 等 攻击 。 

。 认证 和 密 钥 交换 协议 : 这 类 协议 将 认证 和 密 钥 交换 协议 结合 在 一 起 ,是 网 络 通信 中 
最 普遍 应 用 的 安全 协议 。 该 类 协议 首先 对 通信 实体 的 身份 进行 认证 ,如 果 认 证 成 
功 ,进一步 进行 密 钥 交 换 , 以 建立 通信 中 的 工作 密 钥 , 也 叫 密 钥 确认 协议 。 例 如 
Needham-Schroeder 协议 .分 布 认证 安全 服务 (DASS) 协 议 ITU-T X. 509 认证 协议 等 。 

当前 主要 的 一 些 安 全 协议 大 多 都 分 布 在 TCP/IP 参考 模型 的 最 高 三 层 . 即 应 用 层 、 传 输 
层 和 网 络 层 , 常 见 的 协议 如 下 。 
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。 网 络 层 的 安全 协议 : IPSec。 

。 传输 层 的 安全 协议 : SSL/TLS。 

。 应 用 层 的 安全 协议 : SHTTP(Web 安全 协议 )、PGP( 电 子 邮件 安全 协议 )、S/MIME 
(电子 邮件 安全 协议 )、MOSS( 电 子 邮 件 安全 协议 )、PEM( 电 子 邮 件 安全 协议 )、SSH 
(远程 登录 安全 协议 ) 和 Kerberos( 网 络 认证 协议 ) 等 。 

本 章 将 重点 介绍 Kerberos、IPSec、SSL 和 PGP 等 几 种 主流 的 网 络 安全 协议 。 


7.1 简单 的 安全 认证 协议 


安全 协议 通常 描述 为 通信 的 对 象 ( 称 为 主体 ) 之 间 的 消息 传递 的 序列 。 其 中 ,每 一 个 消 
息 传递 都 形 如 A 一 B: M。 

它 表示 主体 A 向 主体 BB 传 递 消息 M。 需 要 注意 的 是 ,协议 描述 的 是 主体 通信 的 模式 ， 
而 并 不 是 具体 几 个 主体 通信 的 过 程 。 在 协议 的 实际 运行 中 ,一 个 主体 可 以 在 协议 的 不 同 运 
行 中 担任 不 同 的 角色 。 消 息 的 复合 记 为 M1,M2。 而 消息 的 加 密 则 记 为 {M}K, 其 中 为 加 


7.1.1 Needham-Schroeder 认证 协议 


Needham-Schroeder 协议 是 最 为 著名 的 早期 的 认证 协议 ,许多 广泛 使 用 的 认证 协议 都 
是 以 Needham-Schroeder 协议 为 基础 而 设计 的 。Needham-Schroeder 协议 可 分 为 对 称 密码 
体制 和 非 对 称 密码 体制 下 的 两 种 版 本 ,分 别 简 称 为 NSSK 协议 和 NSPK 协议 。 

Needham-Schroeder 协议 的 目的 是 使 得 通信 双方 能 够 互相 证 实 对 方 的 身份 并 且 为 后 续 
的 加 密 通信 建立 一 个 会 话 密 钥 (Session Key) 。 协 议 涉 及 三 个 主体 : A 和 B, 以 及 A,B 信赖 
的 可 信 第 三 方 , 也 叫 认证 服务 器 (Authentication Server)S。 

下 面 是 Needham 和 Schroeder 于 1978 年 提出 的 基于 共享 密 钥 体系 的 协议 过 程 。 

(1) A—S: A,B,NA 

(2) S>A: (Na,B,Kas, {Kass A}r)} 

(3) A 一 B: {Kns ,Ajax 

(4) B>A: {Nejxw 

(5) A>B: {Ne—1}x, 

其 中 ,Kas 是 A 与 S 之 间 的 共享 密 钥 ,Kps 是 B 与 S 之 间 的 共享 密 钥 。Kap 是 认证 服务 器 
临时 生成 的 密 钥 ,用 于 A、B 双方 认证 之 后 的 加 密 通 
信 , 称 为 会 话 密 钥 。NA 和 Ns 分 别 是 A 和 B 生成 的 S 
随机 量 (Nonce) 。 随 机 量 的 生成 是 不 可 预计 的 ,并 且 
在 协议 中 只 使 用 一 次 。 认 证 服务 器 S 拥有 每 个 用 户 
的 秘密 密 钥 , 若 用 户 A 欲 与 用 户 B 通信 . 则 用 户 A 向 上 
认证 服务 器 申请 会 话 密 钥 。 在 会 话 密 钥 的 分 配 过 程 
中 ,双方 身份 得 以 鉴别 。Needham-Schroeder 协议 的 
认证 过 程 如 图 7. 1 所 示 。 图 7.1 Needham-Schroeder 认证 过 程 


Kas 
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Needham-Schroeder 认证 协议 使 用 了 多 次 挑战 /响应 协议 ,认证 过 程 可 描述 如 下 。 

第 一 步 ,A 向 认证 服务 器 S 发 送 一 条 明文 消息 。 该 消息 包含 A 与 B 的 标识 ,以 及 A 生 
成 的 一 个 随机 量 NA 。 

第 二 步 , 认 证 服务 器 S 返回 给 A 一 条 用 Kas 加 密 的 消息 。 此 消息 中 包含 了 A 发 送 的 随 
机 量 Na ,B 的 标识 ,S 生成 的 用 于 A、B 双方 认证 之 后 进行 加 密 通 信 的 会 话 密 钥 Kas ,以 及 称 
之 为 票据 (Ticket) 的 子 消 息 。 该 票据 中 包含 了 用 Kas 加 密 的 会 话 密 钥 Kasp 和 A 的 标识 
收 到 上 述 消息 之 后 可 以 用 Kas 解 密 , 并 检查 其 中 的 随机 量 是 否 与 他 在 第 一 步 时 发 出 的 随机 
量 一 致 。 如 果 一 致 ,那么 A 就 可 以 断定 此 消息 是 新 的 (Fresh) ,因为 它 必定 是 在 A 产生 随机 
量 之 后 才 生 成 的 。 由 于 A 可 能 同时 与 多 个 主体 通信 ,所 以 检查 消息 中 B 的 标识 对 于 确认 通 
信 的 主体 是 必要 的 。 从 这 条 消息 ,A 还 得 到 了 认证 服务 器 生成 的 会 话 密 钥 Ka ,以 及 票据 。 
因为 A 不 知道 Kss ,所 以 他 无 法 通过 解密 获知 票据 的 内 容 , 但 他 可 以 在 第 三 步 简 单 地 把 票据 
转发 给 B 

第 三 步 ,B 收 到 A 发 出 的 消息 后 .通过 解密 ,他 就 可 以 发 现 是 A 想 与 他 通信 ,并 且 会 话 
密 钥 是 Kap。 

第 四 步 ,B 生成 一 个 随机 量 Ns ,用 会 话 密 钥 Kas 加 密 后 发 给 A。 这 通常 被 称 之 为 一 个 
挑战 CChallenge),B 通过 此 挑战 来 确定 A 知道 会 话 密 钥 。 

在 协议 的 最 后 ,A 接收 B 的 挑战 ,解密 之 ,把 得 到 的 随机 量 减 一 , 青 用 会 话 密 钥 KAs 加 密 
后 发 送 给 B。B 在 检验 过 收 到 的 数 的 确 是 其 发 出 的 随机 量 减 去 一 之 后 ,就 可 以 确信 A 知道 
此 会 话 密 钥 了 。 因 此 成 功 地 完成 协议 之 后 ,A 和 B 就 能 确信 他 们 之 间 拥 有 了 一 个 除了 可 信 
赖 的 认证 服务 器 之 外 ,只 有 他 们 才 知 道 的 会 话 密 钥 。 并 且 ,A 相信 与 他 用 Ka 进行 加 密 通 信 

一 定 是 B, 因 为 只 有 B 才 可 能 解密 票据 得 到 会 话 密 钥 : B 也 相信 和 与 他 用 Kas 进 行 加 密 通 信 
的 一 定 是 A, 因 为 只 有 A 才能 解密 包含 票据 的 从 认证 服务 器 发 来 的 消息 而 得 到 会 话 密 钥 
aB。 由 此 ,A 与 B 完 成 了 双向 身份 认证 .同时 也 可 以 进行 秘密 通信 了 

Needham-Schroeder 共享 密 钥 协议 公布 三 年 后 ,研究 人 员 发 现 了 此 协议 的 一 个 漏洞 。 
利用 此 漏洞 ,一 个 攻击 者 可 以 使 某 主体 相信 他 正 与 男 一 主体 通信 ,而 实际 上 是 在 与 攻击 者 进 
行 通信 。 

主体 使 用 会 话 密 钥 的 目的 是 使 得 密 钥 泄露 造成 的 损失 只 局 限 在 一 轮 会 话 中 ,这 样 攻击 
者 即使 可 能 通过 密码 分 析 , 或 是 攻 入 认证 服务 器 ,或 是 攻 入 A 或 i ee 
由 于 A,B 之 间 下 一 轮 会 话 又 将 使 用 新 的 会 话 密 钥 , 就 使 得 攻击 一 个 会 话 密 钥 变 得 相对 昂 
贵 .冒险 而 又 费时 ,因此 很 不 合算 。 然 而 ,如 果 一 和 
攻击 者 来 说 就 是 值得 的 了 。 假 定 有 攻击 者 H 记录 下 A 与 B 之 间 执 行 Needham-Schroeder 
共享 密 钥 协议 的 一 轮 消息 ,并 且 进 而 破获 了 其 会 话 密 钥 Kas ,也许 此 密 钥 的 破获 可 能 相对 费 
劲 而 又 费时 (如 经 过 蛮 力 攻击 等 ), 但 攻击 者 可 以 在 第 三 步 冒 充 A 利用 旧 的 会 话 密 钥 欺骗 
B。 在 这 个 攻击 中 ,攻击 者 H 首先 向 B 发 送 一 个 他 记录 的 从 A 发 出 的 旧 消 息 , 此 消息 用 于 
向 B 表 明 是 A 在 与 B 通 信 并 且 Ka 是 会 话 密 钥 。B 无 法 知道 这 是 不 是 一 个 A 发 送 的 正常 
通信 请 求 , 也 不 记得 他 过 去 曾经 用 过 Kas 作 为 会 话 密 钥 。 遵 循 协议 ,B 将 向 A 发 送 一 个 加 密 
的 新 随机 量 作为 挑战 。H 截获 之 .并 用 Kas 解 密 得 到 此 随机 量 , 然 后 向 B 返回 一 个 响应 消 
息 , 使 得 B 相信 他 正在 用 会 话 密 钥 Kap 与 A 通信 .而 实际 上 A 根本 没有 参加 这 一 轮 协议 的 
运行 。 除 非 B 记 住 所 有 以 前 使 用 的 与 A 通信 的 会 话 密 钥 ,否则 B 无 法 判断 这 是 一 个 重 放 攻 


第 7 章 网络 安 全 协议 165 


击 , 攻 击 者 由 此 可 以 随意 冒充 A 与 B 进行 通信 了 ! 

Denning 协议 使 用 时 间 戳 修正 了 这 个 漏洞 ,改进 的 协议 如 下 : 

(1) A 一 S: A,B 

(2) S>A.: {B,Kas,T, (Kap,A,T}k,s }ks 

(3) A 一 B: {Kas ,A,T}rs 

(4) B>A: {Ne}xs 

《5 A>B: {Ne— Li, 

其 中 工 表示 时 间 戳 。T 记录 了 认证 服务 器 S 发 送 消 息 (2) 时 的 时 间 ,A、B 根据 时 间 戳 验证 
消息 的 “新 鲜 性 ”, 从 而 避免 了 重 放 攻 击 。 

Denning 协议 比 Needham-Schroeder 协议 在 安全 性 方面 增强 了 一 步 ,然而 又 提出 新 的 
问题 , 即 必须 依靠 各 时 钟 均 可 通过 网 络 同步 。 如 果 发 送 者 的 时 钟 比 接收 者 的 时 钟 要 快 ,攻击 
者 就 可 以 从 发 送 者 窃听 消息 ,并 在 以 后 当时 间 惟 对 接收 者 来 说 成 为 当前 时 重 放 给 接收 者 ,这 
种 重 放 将 会 得 到 意 想不到 的 后 果 , 称 为 抑制 重 放 攻 击 。 


7.1.2 ”Otway-Rees 协议 


Otway-Rees 协议 的 主要 功能 是 完成 身份 的 双向 认证 ,也 是 使 用 对 称 密码 ,其 协议 过 程 
如 下 。 

(1) Alice 产生 一 报 文 ,此 报 文 包括 一 个 索引 号 M、 她 的 名 字 A 、Bob 的 名 字 B 和 一 随机 
数 Ra ,用 她 和 认证 服务 器 S 共享 的 密 钥 Kas 对 此 报 文 加 密 , 再 将 索引 号 、 她 的 名 字 和 Bob 的 
名 字 以 及 她 加 密 的 报 文 一 起 发 送 给 Bob。 

MA,By(Ras Ms A,B}IKEG 

(2) Bob 产生 一 报 文 , 此 报 文 包括 一 新 的 随机 数 Rg、 索引 号 M、Alice 的 名 字 A 和 Bob 
的 名 字 B。 用 他 与 S 共 享 的 密 钥 Kbs 对 此 报 文 加 密 。 他 将 Alice 的 加 密 报 文 .索引 号 、Alice 
的 名 字 、Bob 的 名 字 以 及 他 加 了 密 的 报 文 一 起 发 送 给 S。 

M,A,B,{RA,M,A,B)Kas,{Ra,M,A,B}Kes 

(3) S 产生 一 随机 会 话 密 钥 Kap ,然后 ,产生 两 个 报 文 。 一 个 用 他 与 Alice 共享 的 密 钥 
KAs 对 Alice 的 随机 数 和 会 话 密 钥 加 密 , 另 一 个 是 用 于 Bob 共享 的 密 钥 Kas 对 Bob 的 随机 数 
和 会 话 密 钥 加 密 。 他 将 这 两 个 报 文 与 索引 号 一 起 发 送 给 Bob。 

M, {Ra, Kns} Kas, {Rs , Kae) Kps 
(4) Bob 将 用 Alice 的 密 钥 加 密 的 报 文 连同 索引 号 一 起 发 送 给 Alice。 
M, {Ra,Kas}Kas 

(5) Alice 解密 报 文 , 恢 复出 她 的 密 钥 Kag 和 随机 数 RA ,然后 她 确认 协议 中 的 索引 号 和 
随机 数 都 没有 改变 。 

Otway-Rees 协议 的 认证 过 程 如 图 7.2 所 示 。 

图 7.2 中 ,标号 1 表示 A 产生 一 消息 ,包括 用 和 S 共享 1 


的 密 钥 Kas 加 密 的 一 个 索引 号 R、A 的 名 字 、B 的 名 字 和 一 随 -2 
机 数 RA。 是 语 
标号 2 表示 B 用 A 消息 中 的 加 密 部 分 构造 一 条 新 消息 。 4 


包括 用 和 S 共享 的 密 钥 Ka 加 密 的 一 个 索引 号 R、A 的 名 字 、 图 7.2 Otway-Rees 认证 过 程 
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B 的 名 字 和 一 新 随机 数 Rs 。 

标号 3 表示 S 检查 两 个 加 密 部 分 中 的 索引 号 R 是 否 相 同 ,如 果 相同 ,就 认为 从 BB 来 的 
消息 是 有 效 的 。S 产生 一 个 会 话 密 钥 Ks 用 Ks 和 Ka 分 别 加 密 后 传送 给 B, 每 条 消息 都 包 
含 S 接 收 到 的 随机 数 。 

标号 4 表示 B 把 用 A 的 密 钥 加 密 的 消息 连同 索引 号 R 一 起 传 给 A。 


7.2 Kerberos 协议 


在 一 个 开放 的 分 布 式 网 络 环境 中 ,用 户 通过 工作 站 访问 服务 器 上 提供 的 服务 时 ,存在 着 
两 个 方面 的 安全 问题 。 

一 方面 ,工作 站 无 法 可 信 地 向 网 络 服务 证 实用 户 的 身份 。 特 别 是 ,存在 着 以 下 三 种 
威胁 。 

(1) 用 户 可 能 访问 某 个 特定 工作 站 ,并 假装 成 男 一 个 用 户 在 操作 工作 站 。 

(2) 用 户 可 能 会 更 改 工作 站 的 网 络 地 址 ,使 从 这 个 已 更 改 的 工作 站 上 发 出 的 请 求 看 似 
来 自 伪 装 的 工作 站 。 

(3) 用 户 可 能 锚 听 他 人 的 报 文 交换 过 程 ,并 使 用 重 放 攻击 来 获得 对 一 个 服务 器 的 访问 
权 或 中 断 服务 器 的 运行 。 

因此 ,提供 服务 的 机 器 必须 能 够 识别 请 求 服 务 的 实体 的 身份 ,应 能 够 限制 非 授 权 用 户 的 
访问 并 能 够 认证 对 服务 的 请 求 ,比如 我 去 邮件 服务 器 申请 我 的 邮件 ,服务 程序 必须 能 够 验证 
我 就 是 我 所 申明 的 那个 人 。 

男 一 方面 ,在 开放 的 网 络 环境 中 ,客户 也 必须 防止 来 自 服务 端的 欺骗 。 以 自动 取款 机 
ATM 为 例 ,如 果 存 在 欺骗 ,那么 客户 将 泄露 自己 的 账户 信息 。 

如 何 使 用 一 个 集中 的 认证 服务 器 ,提供 用 户 对 服务 器 的 认证 以 及 服务 器 对 用 户 的 认证 ， 
这 就 是 Kerberos 要 解决 的 问题 。 


7.2.1 Kerberos 概述 


Kerberos 是 由 美国 麻 省 理工 学 院 (MIT) 提 出 的 基于 可 信赖 的 第 三 方 的 认证 系统 , 它 是 
基于 Needham-Schroeder 协议 设计 的 ,采用 对 称 密码 体制 。Kerberos 提供 了 一 种 在 开放 式 
网 络 环境 下 进行 身份 认证 的 方法 , 它 使 网 络 上 的 用 户 可 以 相互 证 明 自 己 的 身份 。Kerberos 
一 词 源 自 希腊 神话 ,在 希腊 神话 故事 中 .Kerberos 是 一 种 长 有 三 个 头 的 狗 , 还 有 一 个 蛇 形 尾 
巴 ,是 地 狱 之 门 的 守卫 者 。 现 代 取 Kerberos 这 个 名 字 意 指 要 有 三 个 “ 头 ” 来 守卫 网 络 之 门 ， 
这 “三 头 ” 包 括 : 认证 (Authentication) 清算 (Accounting) 和 审计 (Audit)。 常 见 的 版 本 有 
Kerberos Version4 和 Kerberos Version5。Kerberos 发 布 的 第 一 个 报告 中 列 出 了 Kerberos 
的 需求 : 

@ 安全 性 (Security) : 网 络 窃听 者 不 能 获得 必要 信息 以 假冒 其 他 用 户 。 并 且 ,Kerberos 
应 足够 强壮 以 至 于 潜在 的 攻击 者 无 法 找到 它 的 脆弱 的 连接 。 

@ 可 靠 性 (Reliability) : Kerberos 应 高 度 可 靠 , 应 该 使 用 分 布 式 服务 器 体系 结构 ,并 且 
能 够 使 得 一 个 系统 备份 男 一 个 系统 。 


第 7 章 网 络 安全 协议 167 


@ 透明 性 (Transparency) : 用 户 除了 要 求 输入 口令 以 外 应 感觉 不 到 认证 的 发 生 。 
@ 可 伸缩 性 (Scalability) : 系统 应 能 够 支持 大 数量 的 客户 机 和 服务 器 。 
为 了 以 后 叙述 方便 , 先 介 绍 Kerberos 协议 中 的 一 些 概念 。 
。 Principal( 安 全 个 体 ): 被 鉴别 的 个 体 , 有 一 个 名 字 (Name) 和 口令 (Password) 。 
。 KDC(Key Distribution Center, 密 钥 分 配 中 心 ): 可 信 的 第 三 方 , 即 Kerberos 服务 
器 ,提供 Ticket 和 临时 的 会 话 密 钥 。 
。 Ticket( 访 问 许 可 证 ) : 是 一 个 记录 凭证 ,客户 可 以 用 它 来 向 服务 器 证 明 自 己 的 身份 ， 
其 中 包括 客户 的 标识 ,会话 密 钥 \ 时 间 惟 ,以 及 其 他 一 些 信息 。Ticket 中 的 大 多 数 信 
息 都 被 加 密 , 密 钥 为 服务 器 的 密 钥 。 
。 Authenticator( 认 证 符 ): 是 另 一 个 记录 凭证 ,其 中 包含 一 些 最 近 产 生 的 信息 ,产生 
这 些 信息 需要 用 到 客户 和 服务 器 之 间 共 享 的 会 话 密 钥 。 
。 Credentials( 证 书 ): 由 一 个 Ticket 加 上 一 个 秘密 的 会 话 密 钥 组 成 。 
Kerberos 有 一 个 保存 所 有 客户 密 钥 的 数据 库 。 对 于 个 人 客户 , 密 钥 是 一 个 加 密 的 口 
令 , 对 于 需要 鉴别 的 网 络 业 务 或 希望 使 用 这 些 业 务 的 客户 机 , 则 要 用 Kerberos 注册 其 密 钥 。 
由 于 Kerberos 知道 每 个 实体 的 密 钥 ,因此 它 能 产生 消息 向 一 个 实体 证 实 另 一 个 实体 的 身 
份 , 它 还 为 两 个 实体 产生 一 个 会 话 密 钥 用 来 加 密 双 方 间 的 通信 消息 ,通信 完毕 销毁 该 会 证 
密 钥 。 
7.2.2 ”Kerberos 协议 的 工作 过 程 
Kerberos 采用 对 称 密 钥 体制 对 信息 进行 加 密 , 其 基本 思想 是 : 能 正确 对 信息 进行 解密 
的 用 户 就 是 合法 用 户 。 用 户 在 对 应 用 服务 器 进行 访问 之 前 ,必须 先 从 第 三 方 (Kerberos 服 
务 器 ) 获 取 该 应 用 服务 器 的 访问 许可 证 (Ticket)。 出 于 实现 和 安全 考虑 ,Kerberos 认证 服务 
被 分 配 到 两 个 相对 独立 的 服务 器 ,因此 Kerberos 密 钥 分 配 中 心 KDC( 即 Kerberos 服务 器 ) 
是 由 认证 服务 器 AS(Authentication Server) 和 许可 证 颁发 服务 器 TGS(Ticket Granting 


Server) 两 个 部 分 构成 的 。 
认证 服务 器 AS 许可 证 颁发 服务 器 TGS 


Kerberos 的 认证 过 程 如 图 7. 3 所 示 。 

认证 过 程 描述 如 下 。 

@ 用 户 想 要 获取 访问 某 一 应 用 服务 器 的 
许可 证 时 , 先 以 明文 方式 向 认证 服务 器 AS 发 
出 请 求 ,要求 获得 访问 TGS 的 许可 证 。 

@ AS 以 证 书 (Credential) 作 为 响应 ,证 
书包 括 访问 TGS 的 许可 证 和 用 户 与 TGS 间 
的 会 话 密 钥 。 会 话 密 钥 以 用 户 的 密 钥 加 密 后 全 eberes 的 大 让 注 程 
传输 。 

@ 用 户 解密 得 到 TGS 的 响应 ,然后 利用 TGS 的 许可 证 向 TGS 申请 应 用 服务 器 的 许 
可 证 ,该 申请 包括 TGS 的 许可 证 和 一 个 带 有 时 间 戳 的 认证 符 (Authenticator) 。 认 证 符 以 用 
户 与 TGS 间 的 会 话 密 钥 加 密 。 

@ TGS 从 许可 证 中 取出 会 话 密 钥 、 解 密 认 证 符 , 验 证 认证 符 中 时 间 戳 的 有 效 性 ,从 而 
确定 用 户 的 请 求 是 否 合法 。TGS 确认 用 户 的 合法 性 后 ,生成 所 要 求 的 应 用 服务 器 的 许可 
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E ,许可 证 中 含有 新 产生 的 用 户 与 应 用 服务 器 之 间 的 会 话 密 钥 。TGS 将 应 用 服务 器 的 许可 
证 和 会 话 密 钥 传 回 到 用 户 。 

@ 用 户 向 应 用 服务 器 提交 应 用 服务 器 的 许可 证 和 用 户 新 产生 的 带 时 间 戳 的 认证 符 ( 认 
证 符 以 用 户 与 应 用 服务 器 之 间 的 会 话 密 钥 加 密 ) 。 

@ 应 用 服务 器 从 许可 证 中 取出 会 话 密 钥 .解密 认 证 符 , 取 出 时 间 戳 并 检验 有 效 性 。 然 
后 向 用 户 返 回 一 个 带 时 间 戳 的 认证 符 , 该 认证 符 以 用 户 与 应 用 服务 器 之 间 的 会 话 密 钥 进 行 
加 密 。 据 此 ,用 户 可 以 验证 应 用 服务 器 的 合法 性 。 

至 此 ,双方 完成 了 身份 认证 ,并 且 拥 有 了 会 话 密 钥 。 其 后 进行 的 数据 传递 将 以 此 会 话 密 
钥 进 行 加 密 。 因 为 从 TSG 获得 的 Ticket 是 有 时 间 标 记 的 ,因此 用 户 可 以 用 这 个 Ticket 在 
一 段 时 间 内 请 求 相 应 的 服务 而 不 用 再 次 认证 。 

Kerberos 将 认证 从 不 安全 的 工作 站 移 到 了 集中 的 认证 服务 器 上 ,为 开放 网 络 中 的 两 个 
主体 提供 身份 认证 ,并 通过 会 话 密 钥 对 通信 进行 加 密 。 对 于 大 型 的 系统 可 以 采用 层次 化 的 
区 域 (Realm) 进 行 管理 。 

综 上 所 述 ,Kerberos 使 用 一 个 集中 认证 服务 器 ,提供 用 户 对 服务 器 和 服务 器 对 用 户 的 
认证 ,不 是 为 每 一 个 服务 器 提供 详细 的 认证 协议 。 它 的 主要 优点 是 通过 对 实体 和 服务 的 统 
一 管理 实现 单一 注册 ,也 就 是 说 用 户 通过 在 网 络 中 的 一 个 地 方 的 一 次 登录 就 可 以 使 用 网 络 
上 他 可 以 获得 的 所 有 资源 。 它 利用 传统 密码 学 中 的 共享 密 钥 技术 (V4 之 前 的 版 本 使 用 
DES 算法 ,V5 使 用 3DES 算法 增强 安全 性 ) 与 网 络 上 的 每 个 实体 和 服务 分 别 共享 一 个 不 同 
的 秘密 密 钥 ,是 否 知道 此 秘密 密 钥 即 是 身份 的 证 明 。 

Kerberos 也 存在 以 下 一 些 问题 : 

@ Kerberos 服务 器 的 损坏 将 使 得 整个 安全 系统 无 法 工作 。 

@ AS 在 传输 用 户 与 TGS 间 的 会 话 密 钥 时 是 以 用 户 密 钥 加 密 的 ,而 用 户 密 钥 是 由 用 户 
口令 生成 的 ,因此 可 能 受到 口令 猜测 的 攻击 。 

四 Kerberos 使 用 了 时 间 戳 ,因此 存在 时 间 同 步 问题 。 

@ 要 将 Kerberos 用 于 某 一 应 用 系统 , 则 该 系统 的 客户 端 和 服务 器 端 软件 都 要 作 一 定 
的 修改 。 
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7.3 SSL 协议 


SSL(Secure Socket Layer, 安 全 套 接 字 层 ) 协 议 是 网 景 (Netscape) 公 司 提出 的 基于 Web 
应 用 的 安全 协议 ,是 一 种 用 于 传输 层 安全 的 协议 。 传 输 层 安全 协议 的 目的 是 为 了 保护 传输 
层 的 安全 ,并 在 传输 层 上 提供 实现 保密 、 认 证 和 完整 性 的 方法 。SSL 指定 了 一 种 在 应 用 程 
序 协议 (例如 HTTP、TELNET、NNTP、FTP) 和 TCP/IP 之 间 提 供 数 据 安全 性 分 层 的 机 
制 。 它 为 TCP/IP 连接 提供 数据 加 密 、 服 务 器 认证 、 消 息 完整 性 以 及 可 选 的 客户 机 认证 。 


7.3.1 SSL 协议 概述 
SSL 协议 的 体系 结构 如 图 7.4 所 示 。 
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SSL 握手 协议 SSL 修改 密 文 协议 SSL 告警 协议 HTTP 
SSL 记录 协议 
TCP 
王 


7.4 SSL 的 体系 结构 


从 图 7.4 中 可 以 看 出 ,SSL 协议 位 于 传输 层 上 面 , 且 它 自己 也 是 一 个 分 层 协 议 。SSL 有 
两 层 , 其 中 低层 是 SSL 记录 协议 层 .传输 各 种 加 密 和 鉴别 信息 ,为 不 同 的 更 高 层 协议 提供 基 
本 的 安全 服务 ; 而 SSL 握手 协议 、SSL 修改 密 Standard HTTP 
文 协 议 、SSL 告警 协议 位 于 上 层 。 在 TCP 和 
HTTP 之 间 加 上 SSL 前 后 的 对 照 关系 如 
图 7.5 所 示 。 

从 图 7. 5 中 可 看 出 , SSL 记录 协议 为 
HTTP 准备 了 一 个 简单 的 套 接 字 应 用 程序 接 
口 ,这 也 是 SSL 得 名 的 原因 。 

SSL 中 有 以 下 两 个 重要 概念 。 

DO SSL 连接 : 连接 是 提供 恰当 类 型 服务 
的 传输 。SSL 连接 是 点 对 点 的 关系 ,每 一 个 连 
接 与 一 个 会 话 相 联系 。 

@ SSL 会 话 : SSL 会 话 是 客户 和 服务 器 
之 间 的 关联 ,会 话 通过 握手 协议 (在 SSL 协议 
的 高 层 ) 来 创建 。 会 话 定义 了 加 密 安 全 参数 的 
一 个 集合 ,该 集合 可 以 被 多 个 连接 所 共享 。 会 SS 生僻 必 
话 可 以 用 来 避免 为 每 个 连接 进行 昂贵 的 新 安 。 图 7.5 TCP/IP 中 加 入 SSL 记录 前 后 之 比较 
全 参数 的 协商 。 


7.3.2 SSL 记录 协议 


SSL 协议 位 于 传输 层 上 面 ,为 了 实现 机 密 性 和 消息 完整 性 服务 , 它 从 应 用 层 取 得 的 数 
据 需要 重 定格 式 ( 分 片 . 可 选 的 压缩 .应 用 MAC、 加 密 等 ) 后 才能 传 给 传输 层 进行 发 送 。 同 
样 , 当 SSL 协议 从 传输 层 接收 到 数据 后 需要 对 其 进行 解密 等 操作 后 才能 交 给 上 层 的 应 用 
层 。 这 个 工作 是 由 SSL 记录 协议 完成 的 。 

SSL 记录 协议 中 规定 ,发送 方 执行 的 操作 步骤 如 下 (如 图 7.6 所 示 )。 

@ 从 上 层 接受 传输 的 应 用 报 文 。 

@ 分 片 : 将 数据 分 片 成 可 管理 的 块 ,每 个 上 层 报 文 被 分 成 16KB 或 更 小 的 数据 块 。 

@ 进行 数据 压缩 (可 选 ) : 压缩 是 可 选 的 ,压缩 的 前 提 是 不 能 丢失 信息 ,并 且 增 加 的 内 
容 长 度 不 能 超过 1024B ,默认 的 压缩 算法 为 空 。 

@ 应 用 MAC: 加 入 信息 认证 码 (MAC) ,这 一 步 需要 用 到 共享 的 密 钥 。 

@ 加 密 : 利用 IDEA、DES、3DES 或 其 他 加 密 算法 对 压缩 报 文 和 MAC 码 进行 数据 
加 密 。 

@ 增加 SSL 首部 : 增加 由 内 容 类 型 .主要 版 本 、 次 要 版 本 和 压缩 长 度 组 成 的 首部 。 


服务 器 


170 信息 安全 原理 与 技术 


@ 将 结果 传输 到 下 层 。 [| ER 文 | 
接收 方 接收 数据 的 工作 过 程 相反 ,步骤 
Ps 分 片 1 分 片 2 |]…| 分 片 7 
Q@ 从 低层 接受 报 文 。 
@ 解密 。 压 绩 ( 可 多 
@ 用 事先 商定 的 MAC 码 校 验 数据 。 
@ 如 果 是 压缩 的 数据 , 则 解压 缩 。 增加 MAC 
@ 重 装配 数据 。 
@ 传输 信息 到 上 层 。 
7.3.3 SSL 修改 密 文 规约 协议 


图 7.6 SSL 记录 协议 的 发 送 方 执行 的 操作 步骤 
SSL 修改 密 文 规约 协议 用 来 发 送 修改 


密 文 规约 协议 信息 。 任 何 时候 客 户 都 能 请 求 修改 密码 参数 ,比如 握手 密 钥 交换 。 在 修改 密 
文 规约 的 通告 发 出 以 后 ,客户 方 就 发 出 一 个 握手 密 钥 交 换 信息 (如 果 可 得 到 的 话 ) ,鉴定 认证 
信息 ,服务 器 则 在 处 理 了 密 钥 交 换 信 息 之 后 发 送 一 个 修改 密 文 规约 信息 。 此 后 ,新 的 双方 约 
定 的 密 钥 就 将 一 直 使 用 到 下 次 提出 修改 密 钥 规约 请 求 为 止 。 


7.3.4 SSL 告警 协议 


SSL 告警 协议 是 用 来 将 SSL 有 关 的 告警 传送 给 对 方 实体 的 。 和 其 他 使 用 SSL 的 情况 
一 样 , 告 警报 文 按照 当前 状态 说 明 被 压缩 和 加 密 。SSL 告警 协议 的 每 个 报 文 由 两 个 字 节 组 
成 。 第 一 个 字 节 的 值 用 来 表明 告警 的 级 别 , 第 二 个 字 节 表示 特定 告警 的 代码 。 如 果 在 通信 
过 程 中 某 一 方 发 现任 何 异 常 ,就 需要 给 对 方 发 送 一 条 警示 消息 通告 。 警 示 消 息 有 两 种 : 一 
种 是 Fatal 错误 ,如 传递 数据 过 程 中 ,发 现 错误 的 MAC, 双 方 就 需要 立即 中 断 会 话 ,同时 消 
除 自己 缓冲 区 相应 的 会 话 记录 ; 第 二 种 是 Warning 消息 ,这 种 情况 ,通信 双方 通常 都 只 是 记 
录 日 志 , 而 对 通信 过 程 不 造成 任何 影响 。 


7.3.5 SSL 握手 协议 


一 个 SSL 会 话 工 作 在 不 同 的 状态 , 即 会 话 状态 和 连接 状态 。 

会 话 状 态 包括 如 下 一 些 元 素 。 

。 会 话 标识 符 : 由 服务 器 选择 的 任意 字 节 序列 来 标识 一 个 活动 的 或 可 恢复 的 会 话 
。 对 方 的 证 书 : 对 方 的 X509. v3 证 书 。 这 个 元 素 是 可 选 的 ,可 以 为 空 。 

。 压缩 方法 : 即 压缩 的 算法 。 

。 密 文 规约 : 指定 加 密 算法 (比如 空 .DES 等) 和 MAC 算法。 

。 主 密 钥 : 48B 长 的 客户 /服务 器 之 间 的 共享 密 钥 。 

。 可 重新 开始 标志 : 一 个 用 来 指示 会 话 是 否 可 用 于 新 连接 的 标志 。 

连接 状态 包括 以 下 内 容 。 

。 服务 器 和 客户 随机 数 : 客户 和 服务 器 为 每 次 连接 选择 的 任意 长 度 的 字 节 序列 。 
。 服务 器 写 MAC 密 钥 : 用 于 服务 器 进行 MAC 操作 的 密 钥 。 


第 7 章 网络 安 全 协议 17 


。 客户 写 MAC 密 钥 : 用 于 客户 MAC 操作 的 密 钥 。 

。 服务 器 写 密 钥 : 用 于 服务 器 加 密 数 据 和 客户 解密 数据 的 密 钥 。 

。 客户 写 密 钥 : 用 于 客户 加 密 数 据 和 服务 器 解密 数据 的 密 钥 。 

。 初始 化 向 量 : 存储 加 密 信息 的 初始 化 向 量 。 

。 序号 : 用 以 指明 自从 上 次 修改 密 文 规约 信息 以 来 所 传输 的 信息 数量 。 

SSL 握手 协议 协调 客户 和 服务 器 之 间 的 状态 。 另 外 ,对 应 于 修改 密 文 规约 信息 的 加 密 
操作 还 有 读 和 写 状 态 。 当 有 会 话 双方 中 任意 一 方 发 送 一 个 修改 密码 规格 的 信息 , 它 便 从 挂 
起 的 写 状态 改变 为 当前 写 状 态 ; 同样 ,双方 中 任 一 方 收 到 了 一 个 修改 密码 规约 的 信息 , 它 便 

SSL 握手 协议 用 于 鉴别 初始 化 和 传输 密 钥 , 它 使 得 服务 器 和 客户 能 相互 鉴别 对 方 的 身 
份 ,并 保护 在 SSL 记录 中 发 送 的 数据 。 因 此 在 传输 任何 应 用 数据 前 ,都 必须 使 用 握手 协议 。 
一 个 SSL 会 话 是 按 如 下 步骤 初始 化 的 。 

@ 在 客户 方 , 用 户 用 URL 发 出 的 请 求 中 ,HTTP 用 HTTPS 替代 。 

@ 客户 方 的 SSL 请 求 通过 TCP 的 443 端口 与 服务 器 方 的 SSL 进程 建立 连接 。 

@ 然后 客户 方 初始 化 SSL 握手 状态 ,用 SSL 记录 协议 作为 载体 。 这 时 ,客户 /服务 器 
双方 的 连接 中 还 没有 加 密 和 完整 性 检查 的 信息 。 

另外 ,SSL 握手 协议 准许 客户 和 服务 器 一 起 协商 决定 SSL 连接 期 间 所 需 的 参数 ,如 协 
议 版 本 、 密 码 算法 、 客 户 和 服务 器 的 双向 鉴别 (可 选 ) 和 公 钥 加 密 算法 。 在 协商 期 间 , 所 有 握 
手 信 息 都 包装 成 特定 的 SSL 信息 转发 给 SSL 记录 协议 。 图 7.7 描述 了 SSL 握手 的 过 程 。 


二 | 
发 送 “hello" 消 息 


回复 “hello* 消 息 ， 
| [2 发 出 服务 器 证 书 ， 
服务 器 密 钥 交 换 信息 ， 
证 书 请 求 ， 
服务 器 HELLO DONE 
发 送 证 书 ， 
客户 密 钥 交换 信息 ， 3] | 
证 书 验证 信息 ， 
结束 
发 修改 密 文 规约 信息 
4 结束 
发 修改 密 文 规约 信息 
传送 数据 HH 一 传送 数据 


7.7 SSL 握手 过 程 


SSL 握手 的 详细 过 程 如 下 。 

@ 客户 发 出 一 个 带 有 客户 HELLO 信息 的 连接 请 求 。 包 括 如 下 信息 。 

。 想 要 使 用 的 SSL 版 本 号 。 

。 时 间 信 息 , 以 标准 的 UNIX32 位 格式 标识 的 现时 和 日 期 。 

。 会 话 标识 (可 选 ) ,如 果 没 有 指定 的 话 , 则 服务 器 便 重用 上 一 次 的 会 话 标识 或 返回 一 
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个 错误 信息 。 
。 密 文 组 (客户 方 所 支持 的 各 种 加 密 算法 选项 清单 。 包 括 认证 码 、 密 钥 交 换 方法 、 加 密 
和 MAC 算法 ) 。 

。 客户 方 所 支持 的 压缩 算法 。 

。 随机 数 。 

@ 服务 器 评估 客户 方 发 来 的 HELLO 信息 中 的 各 项 参数 ,并 且 返 回 一 个 服务 器 方 的 
HELLO 信息 ,其 中 含有 服务 器 选 来 用 于 SSL 会 话 的 各 项 参数 ,具体 内 容 如 下 。 

。 版 本 号 。 

。 时 间 信 息 ,以 标准 的 UNIX32 位 格式 标识 的 现时 和 日 期 。 

。 会 话 标 识 。 

。 密 文 组 。 

。 压缩 方法 。 

。 随机 数 。 

在 服务 器 HELLO 信息 之 后 ,服务 器 发 出 如 下 信息 。 

。 服务 器 证 书 , 如 果 服 务 器 需要 被 鉴别 的 话 。 

。 服务 器 密 钥 交换 信息 ,如果 得 不 到 证 书 或 证 书 仅 仅 用 作 签 名 的 话 。 

。 证 书 请 求 ,如果 客户 要 求 被 鉴别 的 话 。 

最 后 ,服务 器 发 出 一 个 服务 器 HELLO DONE 信息 ,开始 等 待 客户 的 回音 。 

@ 客户 发 送 下 列 信息 。 

。 如 果 服 务 器 发 出 了 一 个 证 书 请 求 , 那 么 客户 方 必须 发 送 一 个 证 书 或 非 证 书信 息 。 

。 如 果 服 务 器 发 送 了 一 个 服务 器 密 钥 交 换 信 息 , 那 么 客户 方 就 发 送 一 个 基于 公 钥 算法 

的 由 HELLO 信息 决定 的 密 钥 交换 信息 。 
。 如 果 客 户 方 已 经 发 送 了 一 个 证 书 , 那 么 客户 方 就 需 验 证 服务 器 方 的 证 书 并 且 发 出 一 
个 证 书 验证 信息 指明 结果 。 

然后 ,客户 方 发 出 一 个 结束 信息 ,指出 协商 过 程 已 经 完成 。 客 户 方 还 发 送 一 个 修改 密 文 
规约 信息 来 产生 共享 的 常规 密 钥 。 应 该 注意 这 部 分 工作 不 是 由 握手 协议 控制 ,是 由 修改 密 
文 规约 协议 管理 的 。 

@ 服务 器 发 出 一 个 结束 信息 指出 协商 阶段 完成 。 然 后 服务 器 发 出 一 个 密 文 修改 规约 
信息 。 

@@ 会 话 双方 分 别 产生 一 个 加 密 密 钥 .然后 他 们 再 根据 这 些 密 钥 导 出 会 话 主 密 钥 。 握 手 
协议 改变 状态 至 连接 状态 。 所 有 从 应 用 层 来 的 数据 传输 作为 特定 信息 传输 给 对 方 。 

一 旦 主 密 钥 已 经 产生 ,客户 /服务 器 双方 就 能 用 它 来 加 密 应 用 层 的 数据 了 。SSL 记录 
协议 为 这 些 信息 指定 一 个 格式 。 一 般 这 些 信息 包含 一 个 报 文摘 要 以 保证 不 会 被 替换 , 且 这 
些 数据 都 是 用 对 称 密 钥 加 密 的 。 通 常 其 中 使 用 的 对 称 密码 算法 是 RC2 或 RC4, 尽 管 DES、 
三 重 DES 和 IDEA 在 SSL 协议 中 也 是 支持 的 。 美 国联 邦 安 全 局 (NSA) ,是 美国 联邦 政府 
的 一 个 机 构 , 曾 强 令 限制 出 口 到 美国 之 外 的 加 密 产 品 密 钥 长 度 不 准 超过 56 位 。 因 此 SSL 
在 协商 阶段 如 果 遭 遇 出 口 版 本 和 非 出 口 版 本 的 会 话 相 连接 , 则 统一 为 出 口 版 本 加 密 工 具 所 
被 限制 的 密 钥 长 度 。 

SSL 会 话 所 带 来 的 额外 开销 显然 是 不 可 忽视 的 。 因 此 SSL 协议 允许 客户 和 服务 器 双 
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方 重 用 会 话 密 钥 信息 来 重新 开始 会 话 而 不 必 第 二 次 进行 协商 和 鉴别 。 经 过 握手 阶段 ,会话 
双方 已 经 产生 了 一 个 主 密 钥 。 由 这 个 主 密 钥 ,他们 还 产生 其 他 会 话 密 钥 用 于 会 话 数 据 的 对 
称 加 密 和 产生 数字 签名 。 由 此 之 后 第 一 个 加 密 的 数据 是 来 自 服务 器 的 结束 信息 。 如 果 客 户 
方 能 理解 这 些 信 息 , 则 意味 着 : 

@ 机 密 性 已 经 达到 ,因为 该 信息 是 用 对 称 密 钥 加 密 的 密 文 块 (例如 DES 或 RC4)。 

@ 信息 的 完整 性 已 经 得 到 保证 ,因为 该 信息 里 面包 含 了 信息 鉴别 码 , 该 码 是 一 个 报 文 
摘要 或 者 是 该 信息 本 身 再 附加 一 个 从 主 密 钥 导出 的 验证 信息 。 

@ 服务 器 已 经 被 鉴别 ,因为 它 能 够 从 预先 主 密 钥 中 导出 主 密 钥 ,而 预先 主 密 钥 是 事先 
用 服务 器 的 公有 密 钥 加 密 传送 的 , 它 应 该 只 有 服务 器 能 用 它 自己 的 私有 密 钥 解 开 。 当 然 , 这 
都 依赖 于 服务 器 公有 密 钥 证 书 的 完整 性 。 


7.3.6 ”TLS 协议 


IETF 正在 定义 一 种 新 的 协议 ,叫做 “传输 层 安 全 ”(Transport Layer Security, TLS)。 
它 建立 在 Netscape 所 提出 的 SSL 3.0 协议 规范 基础 上 ,对 于 用 于 传输 层 安全 性 的 标准 协 
议 ,整个 行业 好 像 都 正在 朝 着 TLS 的 方向 发 展 。 传 输 层 安全 协议 (TLS)1.0 版 是 基于 SSL 
的 。TLS 1.0 相关 文档 是 RFC2246。 两 个 互相 不 知 其 代码 的 应 用 程序 可 用 TLS 来 安全 地 
通信 。SSL 3.0 和 TLS 1.0 没有 明显 的 区 别 。 对 它们 的 信息 格式 稍 加 修改 之 后 ,它们 就 能 
进行 互 操作 了 。 一 个 TLS 1.0 应 用 能 返回 到 SSL 3. 0 连接 。 


7.3.7 SSL 协议 应 用 


SSL 协议 的 应 用 很 广泛 ,例如 Web 浏览 器 ,可 以 通过 SSL 来 达到 网 页 传输 的 安全 性 。 
当 顾 客 想 从 Web 站 点 购买 某 个 产品 时 ,顾客 和 Web 站 点 都 要 进行 认证 。 顾 客 通常 是 以 提 
供 名 字 和 密码 的 方式 来 认证 他 自己 。 另 一 方面 .Web 站 点 通过 交换 一 块 签名 数据 和 一 个 有 
效 的 X. 509 证 书 ( 作 为 SSL 握手 的 一 部 分 ) 来 认证 它 自 己 。 顾 客 的 浏览 器 验证 该 证 书 并 用 
所 附 的 公用 密 钥 验证 签名 数据 。 一 旦 双方 都 认证 了 , 则 交易 就 可 以 开始 了 。 

SSL 能 用 相同 的 机 制 处 理 服务 器 认证 (就 如 在 上 面 的 示例 中 ) 和 客户 机 认证 。 下 面 我 
们 来 看 一 个 使 用 Web 客户 机 和 服务 器 的 范例 。Web 客户 机 通过 连接 到 一 个 支持 SSL 的 服 
务 器 ,启动 一 次 SSL 会 话 。 支 持 SSL 的 典型 Web 服务 器 在 一 个 与 标准 HTTP 请 求 ( 默 认 
为 端口 80) 不 同 的 端口 (默认 为 443) 上 接受 SSL 连接 请 求 。 当 客户 机 连接 到 这 个 端口 上 
时 , 它 将 启动 一 次 建立 SSL 会 话 的 握手 。 当 握手 完成 之 后 ,通信 内 容 被 加 密 , 并 且 执行 消息 
完整 性 检查 ,直到 SSL 会 话 过 期 。SSL 创建 一 个 会 话 ,在 此 期 间 ,握手 必 须 只 发 生 过 一 次 。 

SSL 握手 过 程 步骤 如 下 。 

(1) SSL 客户 机 连接 到 SSL 服务 器 ,并 要 求 服务 器 验证 它 自 身 的 身份 。 

(2) 服务 器 通过 发 送 它 的 数字 证 书证 明 其 身份 。 这 个 交换 还 可 以 包括 整个 证 书 链 , 直 
到 某 个 根 证 书 权 威 机 构 (CA)。 通 过 检查 有 效 日 期 并 确认 证 书包 含有 可 信任 CA 的 数字 签 
名 ,来 验证 证 书 。 

(3) 然后 ,服务 器 发 出 一 个 请 求 , 对 客户 端的 证 书 进行 验证 。 但 是 ,因为 缺乏 公 钥 体系 
结构 ,当今 的 大 多 数 服务 器 不 进行 客户 端 认证 。 

(4) 协商 用 于 加 密 的 消息 加 密 算 法 和 用 于 完整 性 检查 的 哈 希 函数 。 通 常 由 客户 机 提供 
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它 支持 的 所 有 算法 列表 ,然后 由 服务 器 选择 最 强健 的 加 密 算法 。 

(5) 客户 机 和 服务 器 通过 下 列 步骤 生成 会 话 密 钥 。 

@ 客户 机 生成 一 个 随机 数 , 并 使 用 服务 器 的 公 钥 (从 服务 器 的 证 书 中 获得 ) 对 它 加 密 ， 
发 送 到 服务 器 上 。 

@ 服务 器 用 更 加 随机 的 数据 (从 客户 机 的 密 钥 可 用 时 则 使 用 客户 机 密 钥 ; 否则 以 明文 
方式 发 送 数据 ) 响 应 。 

@ 使 用 哈 希 函数 ,从 随机 数据 生成 密 钥 。 

综 上 所 述 ,SSL 的 主要 目的 是 在 两 个 通信 应 用 程序 之 间 提 供 私密 性 和 可 靠 性 ,使 应 用 
程序 在 通信 时 不 用 担心 被 窃听 和 算 改 。SSL 协议 的 优点 是 它 提 供 了 连接 安全 ,具有 三 个 基 
本 属性 。 

。 机 密 性 : 即 连接 是 私有 的 。 在 初始 握手 阶段 ,双方 建立 对 称 密 钥 后 ,信息 即 用 该 密 

钥 加 密 。 
。 完整 性 : 在 信息 中 嵌入 信息 鉴别 码 C(MAC) 来 保证 信息 的 完整 性 。 其 中 使 用 了 安全 
哈 希 函数 (例如 SHA 和 MD5) 来 进行 MAC 计算 。 

。 鉴别 : 在 握手 阶段 ,客户 鉴别 服务 器 用 不 对 称 密 钥 或 公开 密 钥 。 

但 是 ,SSL 要 求 对 每 个 数据 进行 加 密 和 解密 操作 ,因而 在 带 来 高 性 能 的 同时 ,对 系统 也 
要 求 高 资源 开销 。 另 外 ,SSL 协议 主要 是 使 用 公开 密 钥 体制 和 X. 509 数字 证 书 技术 保护 信 
息 传输 的 机 密 性 和 完整 性 , 它 不 能 保证 信息 的 不 可 否认 性 ,主要 适用 于 点 对 点 之 间 的 信息 传 
输 ,常用 Web Server 方式 。 再 者 ,SSL 为 带 有 安全 功能 的 TCP/IP 套 接 字 应 用 程序 接口 提 
供 了 一 个 替代 的 方法 ,理论 上 ,在 SSL 之 上 可 以 安全 方式 运行 任何 原 有 TCP/IP 应 用 程序 
而 不 需 修改 ,但 实际 上 ,SSL 目前 还 只 是 用 在 HTTP 连接 上 。 网 景 公司 打算 将 SSL 用 到 其 
他 一 些 应 用 层 协 议 上 ,诸如 NNTP 和 TELNET。 


7.4 IPSec 协议 


IP 层 是 TCP/IP 网 络 中 最 关键 的 一 层 ,IP 作为 网 络 层 协议 ,其 安全 机 制 可 对 它 上 层 的 
各 种 应 用 服务 提供 透明 的 覆盖 式 安全 保护 。 因 此 ,IP 安全 是 整个 TCP/IP 安全 的 基础 ,是 
因特网 安全 的 核心 。 

由 于 协议 IPv4 最 初 设计 时 没有 过 多 地 考虑 安全 性 ,缺乏 对 通信 双方 真实 身份 的 验证 能 
力 ,缺乏 对 网 上 传输 的 数据 的 完整 性 和 机 密 性 保护 ,并 且 由 于 IP 地 址 可 软件 配置 等 灵活 性 
以 及 基于 源 IP 地 址 的 认证 机 制 ,使 IP 层 存 在 着 网 络 业务 流 易 被 监听 和 捕获 、IP 地 址 欺骗 、 
信息 泄露 和 数据 项 被 算 改 等 多 种 攻击 ,而 IP 是 很 难 抵抗 这 些 攻击 的 。 

为 了 实现 安全 IP, 因 特 网 工程 任务 组 (IETF) 于 1994 年 开始 了 一 项 IP 安全 工程 ,专门 成 
立 了 了 P 安全 协议 工作 组 (IPSec) ,来 制定 和 推动 一 套 称 为 IPSec 的 IP 安全 协议 标准 。 其 目标 
就 是 把 安全 特征 集成 到 中层, 以便 对 因特网 的 安全 业务 提供 低层 的 支持 。1995 年 8 月 ,IETF 
公布 了 5 个 与 安全 有 关 的 建议 标准 ,在 互连网 层 定 义 了 一 个 IP 安全 体系 结构 IPSec， 
IPSec 主要 文档 如 下 。 

。 RFC2401: 安全 体系 结构 概述 。 
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。 RFC2402: IP 鉴别 首部 (Authentication Header, AH)。 

。 RFC2406: 封装 安全 载荷 (Encapsulating Security Payload,ESP) 。 

。 RFC2409: Internet 密 钥 交换 (The Internet Key Exchange,IKE) 。 

IPSec 提供 了 两 种 安全 机 制 : 认证 和 加 密 。 认 证 机 制 使 IP 通信 的 数据 接收 方 能 够 确认 
数据 发 送 方 的 真实 身份 以 及 数据 在 传输 过 程 中 是 否 遭 自 改 。 加 密 机 制 通过 对 数据 进行 编码 
来 保证 数据 的 机 密 性 ,以 防 数据 在 传输 过 程 中 被 窃听 。IPSec 通过 在 IP 协议 中 增加 两 个 基 
于 密码 的 安全 机 制 验证 头 (AH) 和 封装 安全 有 效 负载 (ESP) 来 支持 IP 数据 项 的 认证 、 
完整 性 和 机 密 性 ,通过 IP 安全 协议 和 密 钥 管理 协议 构建 起 IP 层 安全 体系 结构 的 框架 ,能 保 
护 所 有 基于 IP 的 服务 和 应 用 ,并 且 当 这 些 安全 机 制 正 确实 现时 , 它 不 会 对 用 户 .主机 及 其 他 
未 采用 这 些 安 全 机 制 的 因特网 部 件 有 负面 影响 。 由 于 这 些 安全 机 制 是 独立 于 算法 的 ,所 以 
在 选择 和 改变 算法 时 不 会 影响 其 他 部 分 的 实现 ,对 用 户 和 上 层 应 用 程序 是 透明 的 。IPSec 
的 设计 既 适 用 于 IPv4 又 适用 于 IPv6 , 它 在 IPv4 中 是 一 个 建议 的 可 选 服务 ,对 于 IPv6 则 是 
一 项 必须 支持 的 功能 。 


7.4.1 IPSec 安全 体系 结构 


IPSec 协议 不 是 一 个 单独 的 协议 ,而 是 一 组 安全 协议 集 , 是 在 IP 包 级 为 IP 业务 提供 
保护 的 安全 协议 标准 ,其 基本 目的 就 是 把 安全 机 制 引 入 IP 协议 ,通过 使 用 现代 密码 学 方 
法 支持 机 密 性 和 认证 性 服务 ,使 用 户 能 有 选择 地 使 用 并 得 到 所 期 望 的 安全 服务 。IPSec 
包括 众多 协议 和 算法 ,比如 网 络 认 证 协议 
(Authentication Header, AH) 封装 安全 
载荷 协议 (Encapsulating Security Payload， 
ESP)、 密 钥 管 理 协 议 (Internet Key 
Exchange,IKE) 和 用 于 网 络 认证 及 加 密 的 
一 些 算法 等 。IPSec 将 几 种 安全 技术 结合 
形成 一 个 比较 完整 的 安全 体系 结构 , 它 规 
定 了 如 何在 对 等 层 之 间 选 择 安全 协议 , 确 
定安 全 算法 和 密 钥 交换 ,向 上 提供 了 访问 
控制 ,数据 源 认证 ,数据 加 密 等 网 络 安 全 服 
务 。 这 些 协议 之 间 的 相互 关系 如 图 7. 8 
所 示 。 图 7.8 IPSec 安全 体系 结构 

在 IPSec 安全 协议 组 中 ,ESP 机 制 规 定 了 为 通信 提供 机 密 性 和 完整 性 保护 的 具体 方案 ， 
包括 ESP 载荷 的 格式 .语义 、. 取 值 以 及 对 进入 分 组 和 外 出 分 组 的 处 理 过 程 等 。 其 中 ,ESP 涉 
及 密码 学 中 的 核心 组 件 一 一 加 密 和 鉴别 算法 。 为 了 IPSec 通信 两 端 能 相互 交互 ,ESP 载荷 
中 各 字段 的 取 值 应 该 对 双方 都 可 理解 ,因此 通信 双方 必须 保持 对 通信 消息 相同 的 解释 规则 ， 
即 应 持 有 相同 的 解释 域 (Interpretation of Domain ,DOI) 。DOI 规定 了 每 个 算法 的 参数 要 求 
和 计算 规则 ,如 算法 的 密 钥 长 度 要 求 、. 算 法 强度 要 求 以 及 初始 向 量 的 计算 规则 等 。 为 了 达到 
IPSec 实施 的 互通 性 ,ESP 还 规定 了 双方 必须 支持 的 默认 的 加 密 及 鉴别 算法 。 当 需要 在 
IPSec 中 加 入 新 的 算法 时 ,可 以 通过 扩展 DOI 以 及 在 协商 时 修改 相应 算法 字段 的 取 值 来 达 
到 目的 。 


IPSec 
体系 结构 


ESP 协 议 


加 密 算 法 认证 算法 
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AH 协议 定义 了 认证 的 应 用 方法 ,提供 数据 源 认 证 和 完整 性 保证 。AH 协议 规定 了 
AH 头 在 AH 实现 中 应 插入 IP 头 的 位 置 .AH 头 的 语法 格式 、 各 字段 的 语义 及 取 值 方式 ,以 
及 实施 AH 时 进入 和 外 出 分 组 的 处 理 过 程 。AH 机 制 涉 及 密码 学 中 的 核心 组 件 一 一 鉴别 算 
法 。 为 了 达到 通信 双方 的 相互 交互 ,AH 实现 的 通信 双方 必须 支持 默认 的 鉴别 算法 ,以 确保 
通信 双方 的 互通 性 。 当 需要 在 IPSec 中 添 和 人 新 的 鉴别 算法 时 ,可 以 通过 扩展 相应 DOI 的 取 
值 以 及 修改 协商 时 的 相应 算法 字段 来 实现 。 

在 实际 进行 IP 通信 时 ,可 以 根据 实际 安全 需求 同时 使 用 AH 和 ESP 这 两 种 协议 或 选 
择 使 用 其 中 的 一 种 。AH 和 ESP 都 可 以 提供 认证 服务 ,不 过 ,AH 提供 的 认证 服务 要 强 
于 ESP。 

IKE 协议 是 IPSec 目前 唯一 的 正式 确定 的 密 钥 交换 协议 ,为 AH 和 ESP 提供 密 钥 交换 
支持 ,同时 也 支持 其 他 机 制 , 如 密 钥 协商 。 

为 了 正确 封装 及 提取 IPSec 数据 包 , 有 必要 采取 一 套 专 门 的 方案 ,将 安全 服务 / 密 钥 与 
要 保护 的 通信 数据 联系 到 一 起 ; 同时 要 将 远程 通信 实体 与 要 交换 密 钥 的 IPSec 数据 传输 联 
系 到 一 起 。 换 言 之 ,要 解决 如 何 保护 通信 和 数据、 保护 什么 样 的 通信 数据 以 及 由 谁 来 实行 保护 
的 问题 。 这 样 的 构建 方案 称 为 安全 关联 (Security Association ,SA) 。 

SA 是 两 个 应 用 IPSec 实体 (主机 、 路 由 器 ) 间 的 一 个 单 向 逻辑 连接 ,决定 保护 什么 、 如 何 
保护 以 及 谁 来 保护 通信 数据 。 它 规定 了 用 来 保护 数据 包 安 全 的 IPSec 协议 ,转换 方式 、 密 钥 
以 及 密 钥 的 有 效 存 在 时 间 等 。SA 是 单 向 的 ,要 么 对 数据 包 进 行 “ 进 入 ”保护 ,要 么 进行 “外 
出 ”保护 。 也 就 是 说 ,在 一 次 通信 中 ,IPSec 需要 建立 两 个 SA ,一 个 用 于 入 站 通信 , 另 一 个 用 
于 出 站 通信 。 若 某 台 主机 ,如 文件 服务 器 或 远程 访问 服务 器 ,需要 同时 与 多 台 客 户 机 通信 ， 
则 该 服务 器 需要 与 每 台 客 户 机 分 别 建 立 不 同 的 SA。 每 个 SA 用 唯一 的 SPI 索 引 标 识 , 当 处 
理 接收 数据 包 时 ,服务 器 根据 SPI 值 来 决定 该 使 用 哪 种 SA 。 

具体 采用 什么 方式 ,要 由 三 方面 的 因素 决定 : 第 一 个 是 安全 参数 索引 (SPD ,该 索引 存 
在 于 IPSec 协议 头 内 ; 第 二 个 是 IPSec 协议 值 ; 第 三 个 是 要 向 其 应 用 SA 的 目标 地 址 。 通 
常 ,SA 是 以 成 对 的 形式 存在 的 ,每 个 朝 一 个 方向 。 既 可 人 工 创 建 它 , 亦 可 采用 动态 创建 方 
式 。 手 工 方式 下 ,安全 参数 由 管理 员 按 安全 策略 手工 指定 .手工 维护 。 但 是 ,手工 维护 容易 
出 错 , 而 且 手 工 建立 的 SA 没有 存活 时 间 的 说 法 ,除非 再 用 人 工 方式 将 其 删除 ,否则 便 会 一 
直 存 在 下 去 。 若 用 动态 方式 创建 , 则 SA 有 一 个 存活 时 间 与 其 关联 在 一 起 。 这 个 存活 时 间 
通常 是 由 密 钥 管理 协议 在 IPSec 通信 双方 之 间 加 以 协商 而 确立 下 来 的 ,存活 时 间 非 常 重要 。 
若 超时 使 用 一 个 密 钥 ,会 为 攻击 者 侵入 系统 提供 更 多 的 机 会 。SA 的 自动 建立 和 动态 维护 
是 通过 IKE 进行 的 。 如 果 安 全 策略 要 求 建 立 安 全 ,保密 的 连接 ,但 却 不 存在 相应 的 SA， 
IPSec 的 内 核 则 启动 或 触发 IKE 协商 。 

SA 驻 留 在 安全 关联 数据 库 (SAD) 内 。SAD 为 进入 和 外 出 包 维 持 一 个 活动 的 SA 列 
表 。SAD 的 字段 包括 如 下 内 容 。 

。 外 部 头目 的 IP 地 址 : SA 的 目的 地 址 ,可 为 终端 用 户 系统 、 防 火 墙 和 路 由 器 等 网 络 

系统 。 目 前 的 SA 管理 机 制 只 支持 单 播 地 址 的 SA。 

。 IPSec 协议 : 标识 SA 用 的 是 AH 还 是 ESP。 

。 SPI: 32 比特 的 安全 参数 索引 ,标识 同一 个 目的 地 的 SA。 

。 序号 计数 器 : 32 比特 ,用 于 产生 AH 或 ESP 头 的 序号 , 仅 用 于 外 出 数据 包 。 
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。 序号 计数 器 溢出 标志 : 标识 序号 计数 器 是 否 溢出 。 如 溢出 , 则 产生 一 个 审计 事件 ， 
并 禁止 用 SA 继续 发 送 数 据 包 。 
。 抗 重播 窗口 : 32 比特 计数 器 及 位 图 ,用 于 决定 进入 的 AH 或 ESP 数据 包 是 否 为 重 
发 。 仅 用 于 进入 数据 包 , 如 接收 方 不 选择 抗 重播 服务 (如 手工 设置 SA 时 ), 则 抗 重 
播 窗口 未 被 使 用 。 
。 AH 信息 : 指示 认证 算法 、 密 钥 、 密 钥 生 命 期 等 与 AH 相关 的 参数 。 
。 ESP 信息 : 指示 加 密 认 证 算法 、 密 钥 、 初 始 值 、 密 钥 生 命 期 等 与 ESP 相关 参数 。 
。 SA 的 生存 期 : 一 个 时 间 间 隔 。 超 过 这 一 间隔 后 ,应 建立 一 个 新 的 SA( 以 及 新 的 
SPI) 或 终止 通信 。 生 存 期 以 时 间或 字 节 数 为 标准 ,或 将 两 者 结合 使 用 ,并 优先 采用 
先 到 者 。 
。 IPSec 协议 模式 : 隧道 ,传输 或 混合 方式 (通配符 ) ,说 明 应 用 AH 或 ESP 的 模式 。 
。 路 径 最 大 传输 单元 MTU: 所 考察 的 路 径 的 MTU 及 其 寿命 变量 。 
SA 提供 的 安全 服务 取决 于 所 选 的 安全 协议 (AH 或 ESP) .SA 模式 .SA 作用 的 两 端点 
和 安全 协议 所 要 求 的 服务 。 一 个 SA 对 耻 数 据 报 不 能 同时 提供 AH 和 ESP 保护。 因此 ,如 
果 要 对 特定 业务 流 提 供 多 种 安全 保护 ,就 需要 使 用 多 个 SA。 当 把 一 系列 SA 应 用 于 业务 流 
时 , 称 为 SA 束 。SA 束 的 顺序 由 安全 策略 决定 ,SA 束 中 各 个 SA 的 终点 可 能 不 同 。 例 如 ,一 个 
SA 可 能 用 于 移动 主机 与 安全 网 关 之 间 ,而 另 一 个 可 能 用 于 移动 主机 与 安全 网 关内 的 主机 。 


7.4.2 AH 协议 


1. AH 的 功能 

AH(Authentication Header) 协 议 为 IP 通信 提供 数据 源 认 证 .数据 完整 性 和 反 重 播 保 
证 , 它 能 保护 通信 免 受 算 改 ,但 不 能 防止 窃听 ,适合 用 于 传输 非 机 密 数 据 。AH 的 工作 原理 
是 在 每 一 个 数据 包 上 添加 一 个 身份 验证 报头 。 此 报头 包含 一 个 带 密 钥 的 Hash 散 列 (可 以 
将 其 当 作 数字 签名 ,只 是 它 不 使 用 证 书 ) ,此 Hash 散 列 在 整个 数据 包 中 计算 ,因此 对 数据 的 
任何 更 改 将 致使 散 列 无 效 一 一 这 样 就 提供 了 完整 性 保护 。AH 不 能 提供 加 密 服务 ,这 就 意 
味 着 分 组 将 以 明文 的 形式 传送 。 由 于 AH 的 速度 比 ESP 稍微 快 一 点 ,因此 仅 当 需要 确保 分 
组 的 源 和 完整 性 而 不 考虑 机 密 性 的 时 候 , 可 以 选择 使 用 AH。 

2. AH 的 两 种 模式 

在 为 每 一 个 数据 包 添 加 身份 验证 报头 时 ,AH 可 以 使 用 两 种 模式 : 传输 模式 和 隧道 模 
式 。 传 输 模式 用 于 两 台 主 机 之 间 , 只 对 上 层 协 议 数据 (传输 层 数 据 ) 和 IP 头 中 的 固定 字段 提 
供认 证 ,主要 保护 传输 层 协 议 头 ,实现 端 到 端的 安全 ; 隧道 模式 对 整个 IP 数据 项 提供 认证 
保护 ,把 需要 保护 的 IP 包 封 装 在 新 的 IP 包 中 , 既 可 用 于 主机 也 可 用 于 安全 网 关 , 并 且 当 
AH 在 安全 网 关上 实现 时 ,必须 采用 隧道 模式 。 

传输 模式 的 AH 中 ,封装 后 的 分 组 IP 头 仍然 是 一面 一 cm55 一 
原 IP 头 .只 是 IP 头 的 协议 字段 由 原来 的 值 变 为 51， | 报头 | 报头 | 报头 | 应 用 程序 数据 
表示 IP 头 后 紧 接 的 载荷 为 AH 载荷 。 一 般 AH 为 ! a 
整个 数据 包 提 供 完 整 性 检查 (如 图 7. 9 所 示 ), 但 如 TY 
果 IP 报头 中 包含 “生存 期 (Time To Live)” 或 “服务 Wt 
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类 型 (Type of Service)” 等 值 可 变 字 段 , 则 在 进 
去 除 。 

在 传输 模式 中 ,即使 内 网 中 的 其 他 用 户 也 不 能 自 改 传输 于 两 个 主机 之 间 的 数据 内 容 , 分 
担 了 IPSec 处 理 负荷 ,从 而 避免 IPSec 处 理 的 瓶颈 问题 。 由 于 每 一 个 希望 实现 传输 模式 的 
主机 都 必须 安装 并 实现 IPSec 模块 ,因此 它 不 能 实现 对 端 用 户 的 透明 服务 。 用 户 为 获得 
AH 提供 的 安全 服务 ,必须 付出 内 存 、 处 理 时 间 等 方面 的 代价 ,而且 由 于 不 能 使 用 私有 IP 地 
址 ,因此 必须 使 用 公共 地 址 资源 ,这 就 可 能 暴露 子 网 内 部 的 拓扑 结构 。 

在 隧道 模式 的 AH 中 ,不 是 将 原始 的 IP 协议 头 移 到 最 左边 然后 插入 AH 协议 头 ,而 是 
复制 原始 IP 协议 头 ,并 将 复制 的 IP 协议 头 移 到 数据 报 最 左边 作为 新 的 IP 协议 头 。 随 后 在 
原始 IP 协议 头 与 IP 协议 头 的 副本 之 间 放 置 AH 协议 头 。 原 始 IP 协议 头 保持 原封 不 动 , 并 
且 整 个 原始 IP 协议 头 都 被 认证 或 由 加 密 算法 进行 保护 。 

图 7. 10 标示 出 了 AH 隧道 模式 中 的 签名 PT AT TCRUDR 一 一 
部 分 。AH 隧道 模式 为 整个 数据 包 提供 完整 | 报头 | 报头 | 报头 | 报头 ”| 应 用 程序 数据 


性 检查 时 应 将 这 些 值 可 变 的 字段 


:和 认证 , 认 六 于 ESP。 但 省 上 J] 
人 [ 完整 性 检查 部 分 ( 察 名 ) 
技术 中 ,AH 协议 很 少 单独 实现 ,通常 与 ESP 

协议 组 合 使 用 。 图 7.10 AH 隧道 模式 


隧道 模式 的 AH 实施 的 优点 是 : 子 网 内 部 的 各 主机 可 以 借助 路 由 器 的 IPSec 处 理 , 透 
明 地 得 到 安全 服务 , 子 网 内 部 可 以 使 用 私有 IP 地 址 ,因而 无 需 申请 公有 地 址 资源 。 它 的 缺 
点 是 : IPSec 主要 集中 在 路 由 器 ,增加 了 路 由 器 的 处 理 负 荷 ,容易 形成 通信 的 瓶颈 ,内 部 的 诸 
多 安全 问题 (如 修改 等 ) 不 可 控 。 

3. AH 的 格式 

AH 报头 字段 包括 以 下 几 个 部 分 (如 图 7. 11 所 示 ) 。 


AH 报头 
[ I | 
E | 本 到 安全 参数 认证 数据 
一人 报关 | 长 度 | 索引 SPD | 序列 号 | (Hash 检查 和 ) 


图 7.11 AH 报头 格式 


。 Next Header( 下 一 个 报头 , 占 8 字 节 ): 识别 下 一 个 使 用 IP 协议 号 的 报头 ,例如 ， 
Next Header 值 等 于 6 时 ,表示 紧 接 其 后 的 是 TCP 报头 。 对 于 UDP, 它 的 值 将 
是 17。 

。 Length( 长 度 , 占 8 字 节 ): AH 报头 长 度 。 

。 Security Parameters Index(SPI, 安 全 参数 索引 ., 占 32 字 节 ): 这 是 一 个 为 数据 报 识 
别 安全 关联 的 32 位 伪 随 机 值 。 甚 中 ,SPI 值 0 被 保留 .用 来 表明 “没有 安全 关联 存 
在 ”。 

。 Sequence Number( 序 列 号 , 占 32 字 节 ): 这 是 一 个 无 符号 单调 递增 的 计数 器 ,从 1 
开始 的 32 位 单 增 序列 号 ,不 允许 重复 ,唯一 地 标识 了 每 一 个 发 送 数据 包 , 为 安全 关 
联 提 供 反 重播 保护 。 接 收 端 校 验 序 列 号 为 该 字段 值 的 数据 包 是 否 已 经 被 接收 过 , 若 
是 , 则 拒 收 该 数据 包 。 对 于 一 个 特定 的 SA, 它 实现 反 重 传 服务 。 这 些 信息 不 被 接收 
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对 等 实体 使 用 ,但 是 发 送 方 必须 包含 这 些 信息 。 当 建立 一 个 SA 时 ,这 个 值 被 初始 
化 为 0。 如 果 使 用 反 重 传 服务 重 传 ,那么 这 个 值 决 不 允许 重复 。 由 于 发 送 方 并 不 知 
道 接受 方 是 否 使 用 了 反 重 传 功能 ,该 字段 中 的 值 不 能 被 重复 的 事实 就 要 求 终止 SA， 
并 且 在 传送 第 23 个 分 组 之 前 建立 一 个 新 的 SA 。 

。 Authentication Data(AD, 认 证 数据 ,可 变 长 ): 包含 完整 性 检查 和 。 接 收 端 接收 数 
据 包 后 ,首先 执行 Hash 计算 ,再 与 发 送 端 所 计算 的 该 字段 值 比 较 , 若 两 者 相等 , 表 
示 数 据 完整 , 若 在 传输 过 程 中 数据 遭 修 改 , 两 个 计算 结果 不 一 致 , 则 丢弃 该 数据 包 。 
通过 这 个 值 ,通信 双方 能 实现 对 数据 的 完整 性 保护 、 分 组 级 数据 源 鉴 别 以 及 通信 的 
抗 重 放 攻 击 。 

4. 认证 算法 

用 于 计算 完整 性 校 验 值 (ICV) 的 认证 算法 由 SA 指定 ,对 于 点 到 点 通信 ,合适 的 认证 算 
法 包括 基于 对 称 密码 算法 (如 DES) 或 基于 单 向 Hash 函数 (如 MD5 或 SHA-1) 的 带 密 钥 的 
消息 认证 码 (MAC)。 

对 于 特定 的 IP 包 ,只 有 当 IPSec 系统 判定 了 有 与 之 相应 的 SA 后 , 才 调 用 AH 处 理 过 
程 对 IP 包 进 行 AH 处 理 。 发 送 者 对 IP 包 计算 认证 数据 ICV ,并 将 结果 放 入 输出 包 的 认证 
数据 字段 随 包 发 送 。 接 收 者 在 接收 包 之 前 ,会 对 认证 数据 的 正确 性 进行 验证 ,正确 的 IP 包 
才 被 接收 ,否则 将 包 丢 弃 , 并 作为 审计 事件 记 入 日 志 。RFC2402 对 AH 头 的 格式 、 位 置 、 验 
证 的 范围 及 进入 和 外 出 处 理 规则 进行 了 描述 。 


7.4.3 ESP 协议 


1. ESP 的 功能 

ESP(Encapsulating Security Payload) 为 IP 数据 包 提 供 完整 性 检查 、 认 证 和 加 密 , 可 以 
看 做 是 “超级 AH”, 因 为 它 提供 机 密 性 并 可 防止 算 改 。ESP 服务 依据 建立 的 安全 关联 (SA) 
是 可 选 的 。 然 而 ,也 有 如 下 一 些 限 制 。 

。 完整 性 检查 和 认证 一 起 进行 。 

。 仅 当 与 完整 性 检查 和 认证 一 起 时 ,“ 重 播 (Replay) ”保护 才 是 可 选 的 。 

。“ 重 播 ” 保 护 只 能 由 接收 方 选择 。 

ESP 的 加 密 服 务 是 可 选 的 ,但 如 果 启 用 加 密 , 则 也 就 同时 选择 了 完整 性 检查 和 认证 。 
因为 如 果 仅 使 用 加 密 , 入 侵 者 就 可 能 伪造 包 以 发 动 密码 分 析 攻 击 。ESP 可 以 单独 使 用 ,也 
可 以 和 AH 结合 使 用 。 

2. ESP 的 两 种 模式 

ESP 也 有 两 种 模式 : 传输 模式 和 隧道 模式 。 但 ESP 协议 的 工作 模式 与 AH 不 一 样 。 
正如 ESP 的 名 字 暗 示 的 那样 ,ESP 使 用 一 个 头 和 一 个 尾 包围 原始 的 数据 报 , 从 而 封装 它 的 
全 部 或 部 分 内 容 。 

图 7.12 给 出 了 ESP 传输 模式 。 这 时 ,IP 协议 头 被 调整 到 数据 报 左边 ,并 插入 ESP 协 
议 头 。ESP 协议 尾 以 及 ICV( 完 整 性 校 验 值 , 用 于 认证 ) 被 附加 在 数据 报 末 端 。 如 果 需 要 加 
密 , 仅 对 原始 数据 和 新 的 ESP 协议 尾 进行 加 密 。 认 证 从 ESP 协议 头 一 直 延 伸 到 ESP 协 
议 尾 。 
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- 认证 部 分 一 


7.12 ESP 传输 模式 


在 图 7.13 中 给 出 了 ESP 隧道 模式 的 描述 。 在 ESP 隧道 模式 下 , 原 数据 包 ( 包 括 原 IP 
报头 和 数据 ) 被 封装 在 ESP 报头 和 ESP 报 尾 之 间 ,外边 附 上 了 新 的 IP 报头 。 在 这 种 模式 
下 ,加密 部 分 为 原 IP 数据 包 和 ESP 报 尾 , 完 整 性 检查 部 分 为 ESP 报头 、 原 IP 数据 包 以 及 
ESP 报 尾 。 整 个 原始 数据 报 都 可 以 用 这 种 方法 进行 加 密 或 认证 。 如 果 既 选择 ESP 认证 又 
选择 ESP 加 密 ,那么 应 该 首先 实现 加 密 。 这 就 允许 在 传输 之 前 与 发 送 方 没有 改变 数据 报 的 
保证 一 同 实现 认证 ,并且 接受 方 在 对 分 组 进行 解密 之 前 认证 数据 报 。 


新 IP | ESP 原 IP |TCP/UDP ESP ESP 
报头 | 报头 轩 报 江上 报关 四 应用 程序 数据 | 报 尾 | 认证 报 尾 


加 密 部 分 
[ 完整 性 检查 部 分 (签名 ) 
7.13 ESP 隧道 模式 


3. ESP 的 格式 
ESP 协议 包括 ESP 报头 `ESP 报 尾 和 ESP 认证 报 尾 三 个 部 分 。ESP 由 IP 协议 号 50 
标识 。 
ESP 报头 字段 包括 以 下 一 些 内 容 ( 如 图 7.14 所 示 ) 。 
IPSec | 传输 层 
原 IP I ee ESP ESP 
(ESP) 报头 应 用 程序 数据 认证 报 牛 
报头 | 报头 |TCP/UDP 报 尾 | 认证 报 尾 
I 


I 
[ [ 
安全 参数 索引 i -EnAv| 扩展 位 | 下 一 个 报头 认证 数据 
(SPI) 序列 号 | | 扩展 位 | 长 度 | (rcpjyDP) | ash 检查 和 ) 


图 7.14 ESP 报头 、 报 尾 和 认证 报 尾 


。 Security Parameters Index(SPI, 安 全 参数 索引 ) : 为 数据 包 识 别 安全 关联 。 

。 Sequence Number( 序 列 号 ) : 从 1 开始 的 32 位 单 增 序列 号 ,不 允许 重复 ,唯一 地 标 
识 了 每 一 个 发 送 数 据 包 ,为 安全 关联 提供 反 重播 保护 。 接 收 端 校 验 序列 号 为 该 字段 
值 的 数据 包 是 否 已 经 被 接收 过 ,若是 . 则 拒 收 该 数据 包 。 

ESP 报 尾 字段 包括 以 下 内 容 ( 如 图 7. 14 所 示 )。 

。 Padding( 扩 展位 ): 0 一 255 个 字 节 。DH 算法 要 求 数据 长 度 ( 以 位 为 单位 ) 模 512 为 
448, 若 应 用 数据 长 度 不 足 , 则 用 扩展 位 填充 。 

。 Padding Length( 扩 展位 长 度 ) : 接收 端 根据 该 字段 长 度 去 除数 据 中 扩展 位 。 


第 7 章 网络 安 全 协议 181 


。 Next Header( 下 一 个 报头 ): 识别 下 一 个 使 用 IP 协议 号 的 报头 ,如 TCP 或 UDP。 
ESP 认证 报 尾 字段 包括 的 内 容 为 (如 图 7. 14 所 示 )。Authentication Data(AD, 认 证 数 
据 ) ,包含 完整 性 检查 和 。 不 管 是 在 ESP 传输 模式 下 还 是 在 ESP 隧道 模式 下 ,完整 性 检查 
都 从 ESP 协议 头 一 直 延 伸 到 ESP 协议 尾 , 但 不 包括 IP 报头 ,因此 ESP 不 能 保证 IP 报头 不 
被 算 改 。 
如 果 已 经 有 其 他 IPSec 协议 使 用 , 则 ESP 报头 应 插 在 其 他 任何 IPSec 协议 报头 之 前 。 
4. 加 密 算法 和 认证 算法 
ESP 所 采用 的 加 密 算法 由 SA 指定 。 为 了 提高 加 密 效率 ,ESP 设计 使 用 的 是 对 称 密码 
算法 。 由 于 IP 包 可 能 会 失 序 到 达 , 因 此 每 个 IP 包 必 须 携带 接收 者 进行 解密 所 要 求 的 密码 
同步 数据 (如 初始 化 向 量 IV)。 这 个 数据 可 以 在 有 效 负载 字段 中 明确 携带 ,也 可 以 从 包头 中 
推导 出 来 。 由 于 机 密 性 是 可 选择 的 ,因此 加 密 算法 可 以 是 “ 空 ”。ESP 中 的 认证 算法 同 AH 
的 认证 算法 一 样 。 由 于 认证 算法 是 可 选 的 ,因此 认证 算法 也 可 以 是 “ 空 ”。 
虽然 加 密 和 认证 算法 都 可 为 空 , 但 二 者 不 能 同时 为 空 。 因 为 这 样 做 不 仅 毫 无 安全 保证 
可 言 ,而 且 也 为 系统 带 来 了 无 谓 的 负担 。 
5s. ESP 处 理 
ESP 的 处 理 过 程 发 生 在 发 送 时 的 IP 分 割 之 前 以 及 接受 时 的 IP 重新 组 合 之 后 。 
发 送 时 的 处 理 包 括 如 下 一 些 内 容 。 
。 ESP 头 定 位 : 在 传输 模式 下 ,ESP 头 插 在 IP 头 和 上 一 层 协议 头 之 间 ; 在 隧道 模式 
下 ,ESP 头 在 整个 源 IP 数据 项 之 前 。 
。 查找 : 只 有 当 与 此 会 话 相 关 的 有 效 的 SA 存在 时 , 才 进 行 ESP 处 理 。 
。 包 加 密 : 把 数据 封装 到 ESP 的 有 效 负载 字段 ,在 传输 模式 下 ,只 封装 上 层 协 议 数据 ， 
在 隧道 模式 下 .封装 整个 原 IP 数据 项 。 应 使 用 由 SA 指定 的 密 钥 和 加 密 算法 对 上 
述 结果 加 密 。 
接受 时 的 处 理 过 程 为 : 当 接收 方 收 到 一 个 IP 数据 项 时 , 先 根 据 包 中 目的 IP 地 址 、 安 全 
协议 ESP 和 SPI 查找 SA, 若 没有 用 于 此 会 话 的 SA 存在 , 则 接收 者 必须 丢弃 此 包 , 并 记 入 
日 志 , 否 则 就 按 SA 中 指定 的 算法 进行 解密 并 重新 构造 原 IP 数据 项 格式 。 


7.4.4 ”IKE 协议 


台 IPSec 计算 机 在 交换 数据 之 前 ,必须 首先 建立 某 种 约定 ,这 种 约定 , 称 为 安全 关联 
(SA), 指 双方 需要 就 如 何 保护 信息 、 交 换 信息 等 公用 的 安全 设置 达成 一 致 ,因此 必须 有 一 种 
方法 ,使 那 两 台 计 算 机 安全 地 交换 一 套 密 钥 , 以 便 在 它们 的 连接 中 使 用 。Internet 工程 任务 
组 IETF 制定 的 安全 关联 标准 法 和 密 钥 交换 解决 方案 一 一 IKE(Internet Key Exchange， 
Internet 密 钥 交换 ) 协 议 负 责 这 些 任 务 。IKE 主要 完成 两 个 作用 : 一 是 安全 关联 的 集中 化 管 
理 ,减少 连接 时 间 ; 二 是 密 钥 的 生成 和 管理 。 
实现 密 钥 管理 的 机 制 有 很 多 ,包括 手工 密 钥 分 发 .通过 SNMP 的 MIB 变量 的 配置 等 。 
其 中 密 钥 交换 协议 IKE 以 其 高 度 的 自动 化 、 较 严密 的 信息 交换 保护 体系 ,以 及 丰富 灵活 的 
功能 集 , 在 众多 管理 机 制 中 脱颖而出 ,以 下 将 对 IKE 进行 介绍 。 
IKE 协议 是 IPSec 目前 唯一 的 正式 确定 的 密 钥 交换 协议 , 它 为 AH 和 ESP 提供 密 钥 交 
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换 支 持 , 同 时 也 支持 其 他 机 制 , 加 密 钥 协商 。IKE 是 IPSec 安全 关联 (SA) 在 协商 它们 的 保 
护 套件 和 交换 签名 或 加 密 密 钥 时 所 遵循 的 机 制 , 它 定义 了 双方 交流 策略 信息 的 方式 和 构建 
并 交换 身份 验证 消息 的 方式 。 

IKE 是 由 另外 三 种 协议 (ISAKMP、Oakley 和 SKEME) 混 合 而 成 的 一 种 协议 。 

其 中 ,ISAKMP 协议 (Internet Security Association and Key Management Protocol， 
Internet 安全 关联 和 密 钥 管理 协议 ) 定 义 了 程序 和 信息 包 格 式 来 建立 、 协 商 ,修改 和 删除 安 
全 关联 (SA)。SA 包括 了 各 种 网 络 安全 服务 执行 所 需 的 所 有 信息 ,这 些 安全 服务 包括 IP 层 
服务 (如 头 认 证 和 负载 封装 )、 传 输 或 应 用 层 服务 ,以 及 协商 流量 的 自我 保护 服务 等 。 
ISAKMP 定义 包括 交换 密 钥 生成 和 认证 数据 的 有 效 载荷 。 这 些 格式 为 传输 密 钥 和 认证 数 
据 提 供 了 统一 框架 ,而 它们 与 密 钥 产生 技术 ,加 密 算法 和 认证 机 制 相 独立 。ISAKMP 区 别 
于 密 钥 交换 协议 是 为 了 把 安全 连接 管理 的 细节 从 密 钥 交换 的 细节 中 彻底 的 分 离 出 来 。 不 同 
的 密 钥 交换 协议 中 的 安全 属性 也 是 不 同 的 。 然 而 ,需要 一 个 通用 的 框架 用 于 支持 SA 属性 
格式 ,谈判 ,修改 与 删除 SA,ISAKMP 即 可 作为 这 种 框架 。 把 功能 分 离 为 三 部 分 增加 了 一 
个 完全 的 ISAKMP 实施 安全 分 析 的 复杂 性 。 然 而 在 有 不 同安 全 要 求 且 需 协同 工作 的 系统 
之 间 这 种 分 离 是 必需 的 ,而 且 还 应 该 对 ISAKMP 服务 器 更 深层 次 发 展 的 分 析 简 单 化 。 
ISAKMP 支持 在 所 有 网 络 层 的 安全 协议 (如 IPSEC、TLS、TLSP、OSPF 等 ) 的 SA 协商 。 
ISAKMP 通过 集中 管理 SA 减少 了 在 每 个 安全 协议 中 重复 功能 的 数量 。ISAKMP 还 能 通 
过 一 次 对 整个 栈 协议 的 协商 来 减少 建立 连接 的 时 间 。ISAKMP 中 ,解释 域 (DOI) 用 来 组 合 
相关 协议 ,通过 使 用 ISAKMP 协商 安全 连接 。 共 享 DOI 的 安全 协议 从 公共 的 命名 空间 选 
择 安 全 协议 和 加 密 转换 方式 ,并 共享 密 钥 交换 协议 标识 。 同 时 它们 还 共享 一 个 特定 DOI 的 
有 效 载 荷 数据 目录 解释 ,包括 安全 连接 和 有 效 载 荷 认证 。 

Oakley 和 SKEME 定义 了 通信 双方 建立 一 个 共享 的 验证 密 钥 所 必须 采取 的 步骤 。 
IKE 吸收 了 Oakley 和 SKEME 这 两 大 不 同 密 钥 交换 协议 的 优点 。Oakley 的 特色 是 描述 了 
一 系列 密 钥 交换 方法 ,起 名 为 “模式 ”(Modes); 而 SKEME 的 特色 是 描述 了 密 钥 分 类 、 可 信 
度 和 更 新 机 制 。 这 两 部 分 恰好 可 以 互补 ,因此 IPSec 工作 组 就 把 这 两 部 分 进行 了 有 机 的 组 
合 , 形 成 了 IKE。 

IKE 使 用 了 两 个 阶段 的 ISAKMP: 第 一 阶段 ,协商 创建 一 个 通信 信道 (IKE SA), 并 对 
该 信道 进行 验证 ,为 双方 进一步 的 IKE 通信 提供 机 密 性 ,消息 完整 性 以 及 消息 源 验 证 服务 ; 
第 二 阶段 ,使 用 已 建立 的 IKE SA 建立 IPSec SA。 分 两 个 阶段 来 完成 这 些 服务 有 助 于 提高 
密 钥 交换 的 速度 。 

第 一 阶段 协商 (也 称 为 主 模式 协商 ) 步 骤 如 下 。 

@ 策略 协商 。 在 这 一 步 中 ,就 4 个 强制 性 参数 值 进行 协商 。 

。 加 密 算法 : 选择 DES 或 3DES。 

。 Hash 算法 : 选择 MD5 或 SHA。 

。 认证 方法 : 选择 证 书 认 证 、 预 置 共享 密 钥 认证 或 Kerberos v5 认证 。 

。 Diffie-Hellman 组 的 选择 。 

@ Diffie-Hellman(DH) 交 换 。 

虽然 名 为 “ 密 钥 交换 ”, 但 事实 上 在 任何 时 候 .两 台 通 信 主 机 之 间 都 不 会 交换 真正 的 密 
钥 ,它们 之 间 交 换 的 只 是 一 些 DH 算法 生成 共享 密 钥 所 需要 的 基本 材料 信息 。Diffie-Hellman 
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算法 是 用 于 密 钥 交换 的 最 早 最 安全 的 算法 之 一 。DH 算法 的 基本 工作 原理 是 : 通信 双方 公 
开 或 半 公 开交 换 一 些 准 备用 来 生成 密 钥 的 “材料 数据 ”, 在 彼此 交换 过 密 钥 生成 “材料 ”后 ,两 
端 可 以 各 自生 成 出 完全 一 样 的 共享 “ 主 密 钥 ” ,保护 紧 接 其 后 的 认证 过 程 。 在 任何 时 候 , 双 方 
都 绝 不 交换 真正 的 密 钥 。 通 信和 双方 交换 的 密 钥 生成 “材料 ”, 长 度 不 等 “材料 ”长 度 越 长 ,所 
生成 的 密 钥 强度 也 就 越 高 , 密 钥 破译 就 越 困 难 。 在 协商 过 程 中 ,对 等 的 实体 间 应 选择 同一 个 
DH 组 , 即 密 钥 “材料 "长度 应 该 相等 。 关 DH 组 不 匹配 ,将 视 为 协商 失败 。DH 交换 ,可 以 
是 公开 的 ,也 可 以 受 保护 。 

@ 认证 。DH 交换 需要 得 到 进一步 认证 ,如 果 认 证 不 成 功 ,通信 将 无 法 继续 下 去 。“ 主 
密 钥 ?结合 在 第 一 步 中 确定 的 协商 算法 ,对 通信 实体 和 通信 信道 进行 认证 。 在 这 一 步 中 , 整 
个 待 认证 的 实体 载荷 ,包括 实体 类 型 .端口 号 和 协议 , 均 由 前 一 步 生 成 的 “ 主 密 钥 ”提供 机 密 
性 和 完整 性 保证 。 

在 第 二 阶段 SA( 也 叫 快速 模式 SA ,为 数据 传输 而 建立 的 安全 关联 ) 中 ,协商 建立 IPSec 
SA ,为 数据 交换 提供 IPSec 服务 。 第 二 阶段 协商 消息 受 第 一 阶段 SA 保护 ,任何 没有 第 一 阶 
段 SA 保护 的 消息 将 被 拒 收 。 

第 二 阶段 协商 (快速 模式 协商 ) 步 又 如 下 。 

@ 策略 协商 。 双 方 交换 保护 需求 。 

。 使 用 哪 种 IPSec 协议 : AH 或 ESP。 

。 使 用 哪 种 Hash 算法 : MD5 或 SHA。 

。 是 否 要 求 加 密 , 若 是 ,选择 加 密 算法 : 3DES 或 DES。 

在 上 述 三 方面 达成 一 致 后 ,将 建立 起 两 个 SA, 分 别 用 于 入 站 和 出 站 通信 。 

@ 会 话 密 钥 "“ 材 料 ” 刷 新 或 交换 。 

在 这 一 步 中 ,将 生成 加 密 IP 数据 包 的 “会 话 密 钥 "。 生 成 “会 话 密 钥 ”所 使 用 的 “材料 ”可 
以 和 生成 第 一 阶段 SA 中 “ 主 密 钥 ”的 相同 ,也 可 以 不 同 。 如 果 不 做 特殊 要 求 ,只 需要 刷新 
“材料 ”后 ,生成 新 密 钥 即 可 。 若 要 求 使 用 不 同 的 “材料 ”, 则 在 密 钥 生 成 之 前 ,首先 进行 第 二 
轮 的 DH 交换 。 

@ SA 和 密 钥 连同 SPI, 递 交 给 IPSec 驱动 程序 。 

第 二 阶段 协商 过 程 与 第 一 阶段 协商 过 程 类 似 , 不 同 之 处 在 于 : 在 第 二 阶段 中 ,如 果 响 应 
超时 , 则 自动 尝试 重新 进行 第 一 阶段 SA 协商 。 

第 一 阶段 SA 建立 起 安全 通信 信道 后 保存 在 高 速 缓存 中 ,在 此 基础 上 可 以 建立 多 个 第 

二 阶段 SA 协商 ,从 而 提高 整个 建立 SA 过 程 的 速度 。 只 要 第 一 阶段 SA 不 超时 ,就 不 必 重 
复 第 一 阶段 的 协商 和 认证 。 允 许 建立 的 第 二 阶段 SA 的 个 数 由 IPSec 策略 属性 决定 。 
由 IKE 建立 的 IPSec SA 有 时 也 会 为 密 钥 带 来 “完美 向 前 保密 (PFS)” 特 性 ,所 谓 PFS 
是 指 既 使 攻击 者 破解 了 一 个 密 钥 ,也 只 能 还 原 这 个 密 钥 加 密 的 数据 ,而 不 能 还 原 其 他 的 加 密 
数据 。 要 达到 理想 的 PFS, 一 个 密 钥 只 能 用 于 一 种 用 途 , 生 成 一 个 密 钥 的 素材 也 不 能 用 来 生 
成 其 他 的 密 钥 。 我 们 把 采用 短暂 的 一 次 性 密 钥 的 系统 称 为 PFS。 

而 且 如 果 愿 意 , 也 可 使 通信 对 方 的 身份 具有 同样 的 特性 。 通 过 一 次 IKE 密 钥 交换 ,可 
创建 多 对 IPSec SA。 正 是 由 于 提供 了 多 样 性 的 选择 , 才 使 IKE 既 具 有 广泛 的 包容 性 ,又 具 
有 高 度 的 复杂 性 。 
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7.5 PGP 


随 着 Internet 的 发 展 ,电子 邮件 作为 其 最 重要 的 应 用 之 一 ,也 得 到 越 来 越 广泛 的 应 用 ， 
从 一 般 的 个 人 通信 手段 发 展 到 了 网 上 媒体 和 政务 /商务 等 重要 且 正 式 的 场合 。 因 此 电子 邮 
件 的 安全 以 及 电子 邮件 系统 的 安全 性 也 得 到 越 来 越 多 的 关注 。 

电子 邮件 在 Internet 上 传输 ,从 一 台 计 算 机 传输 到 另 一 台 计 算 机 ,电子 邮件 所 经 过 的 网 
络 上 的 任 一 系统 管理 员 或 黑客 都 可 能 截获 和 更 改 该 邮件 ,其 至 伪造 某 人 的 电子 邮件 。 这 就 
类 似 于 传统 的 邮政 系统 中 的 明信片 ,邮件 本 身 的 安全 性 需要 依赖 邮件 经 过 的 网 络 系统 的 安 
全 性 和 管理 人 员 的 诚实 、 对 信息 的 漠不关心 。 

为 了 保证 电子 邮件 的 安全 ,首先 要 保证 邮件 不 被 无 关 的 人 窃取 或 更 改 , 同 时 接收 者 也 必 
须 能 确定 该 邮件 是 由 合法 发 送 者 发 出 的 。 因 此 针对 电子 邮件 采用 的 安全 技术 主要 是 加 密 技 
术 和 签名 技术 ,但 目前 还 没有 安全 电子 邮件 的 正式 标准 ,下 面 就 以 应 用 较为 广泛 的 PGP 协 
议 标准 为 例 来 进行 介绍 。 

PGP 一 一 Pretty Good Privacy( 相 当 好 的 保密 ) 是 由 MIT 的 P. R. Zimmerrmann 提出 
的 ,主要 用 于 安全 电子 邮件 , 它 可 以 对 通过 网 络 进行 传输 的 数据 创建 和 检验 数字 签名 .加密 、 
解密 以 及 压缩 。 由 于 它 免 费 供 应 、 源 代码 完全 公开 ,并 可 在 MS-DOS/Windows、UNIX、 
Macintosh 等 多 种 平台 上 使 用 , 故 近 年 来 得 到 了 广泛 使 用 。 

PGP 提供 5 个 方面 的 功能 : 鉴别 .保密 性 .压缩 .Email 兼容 性 和 分 段 功能 ,如 表 7. 1 
所 示 。 

表 7.1 PGP 的 功能 
功 能 使 用 的 算法 解释 说 明 
WA i 发 送 者 产生 一 次 性 会 话 密 钥 ,用 会 话 密 钥 以 IDEA、 
保密 性 ee DES,Diffie | CAST 或 三 重 DES 加 密 消息 ,并 用 接收 者 的 公 钥 以 
Diffie-Hellman 或 RSA 加 密会 话 密 钥 

用 MD5 或 SHA 对 消息 散 列 ,并 用 发 送 者 的 私 钥 加 密 


名 RSA 或 DSS,.MD5 或 SHA 
签名 SA 或 DS 5 或 消息 摘要 
压缩 ZIP 使 用 ZIP 压缩 消息 ,以 便于 存储 和 传输 
| 对 E-mail 应 用 提供 透明 性 ,将 加 密 消息 用 Radix64 变 
E-mail 兼容 性 | Radix64 交换 换 成 ASCII 字符 串 
分 段 功 能 一 为 适应 最 大 消息 长 度 限制 ,PGP 实行 分 段 并 重组 


7.5.1 鉴别 


PGP 的 鉴别 服务 .用 于 说 明 由 谁 发 来 的 报 文 且 只 能 由 他 发 出 。 
PGP 的 鉴别 操作 过 程 如 图 7.15(a) 所 示 。 

其 中 ,图 7.15 的 记号 的 含义 如 下 。 

和 Ks: 会 话 钥 。 

二 KRA : 用 户 A 的 私 钥 。 
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一 发 送 者 A 一 一 一 接收 者 B 一 一 
K 
KRA Ekas[HOM)] 四 UA 
上 
(a) 只 进行 鉴别 -加 
Kue 
Ekua[Ks] 


(b) 只 保证 机 密 性 


Kus Ekus[Ks 
1 


(0) 鉴别 性 与 机 密 性 
7.15 PGP 的 操作 过 程 


。 Kua: 用 户 A 的 公 钥 。 

。 EP: 公 和 钥 加 密 。 

。 DP: 公 钥 解密 。 

。 EC: 常规 加 密 。 

。 DC: 常规 解密 。 

。 于: 散 列 函数 。 

| 和 连接 。 

。Z: 用 ZIP 算法 进行 数据 压缩 。 

。Z 7 1: 解压 缩 。 

。 R64: 用 Radix64 转换 到 ASCII 格式 。 

PGP 鉴别 的 过 程 可 描述 如 下 。 

。 发 送 者 产生 消息 M。 

。 用 SHA-1 对 M 生成 一 个 160 位 的 散 列 码 H。 

。 HH 用 发 送 者 的 私 钥 加 密 , 并 与 M 连接 。 

。 接收 者 用 发 送 者 的 公 钥 解密 并 恢复 散 列 码 H。 

。 对 消息 M 生成 一 个 新 的 散 列 码 ,与 H 比较 。 如 果 一 致 , 则 消息 M 被 认证 , 即 报 文 作 
为 已 鉴别 的 报 文 而 接受 (提供 DSS/SHA-1 可 选 替 代 方 案 和 签名 与 消息 分 离 的 
支持 ) 。 
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7.5.2 机 密 性 


PGP 提供 的 另 一 个 基本 服务 是 机 密 性 , 它 是 通过 对 将 要 传输 的 报 文 或 者 将 要 像 文 件 一 
样 存储 在 本 地 的 报 文 进行 加 密 来 保证 的 (如 图 7. 15(b) 所 示 )。 

PGP 加 解密 采用 CAST-128( 或 IDEA 或 3DES) .64 位 CFB 方式 。 密 钥 分 配 问题 总 要 
解决 。 在 PGP 中 ,每 个 常规 密 钥 只 使 用 一 次 , 即 对 每 个 报 文生 成 新 的 128M 的 随机 数 。 因 
此 ,尽管 在 文档 中 这 个 密 钥 被 称 为 会 话 密 钥 ,实际 上 它 是 一 次 性 密 钥 。 因 为 只 被 使 用 一 次 ， 
所 以 会 话 密 钥 与 报 文 绑 定 在 一 起 并 和 报 文 一 起 传输 。 为 了 保护 密 钥 ,使 用 接收 者 的 公开 密 
钥 对 它 进行 加 密 。 其 过 程 如 下 : 

。 发 送 者 生成 消息 M 并 为 该 消息 生成 一 个 128 位 的 随机 数 作为 会 话 密 钥 。 

。 使 用 会 话 密 钥 .CAST-128 算法 (或 IDEA 或 3DES) 对 消息 M 进行 加 密 。 

。 会 话 密 钥 用 RSA 及 接收 者 的 公 钥 加 密 并 与 消息 M 结合 (也 可 用 Diffie-Hellman 算 

法 )。 

。 接收 者 用 自己 的 私 钥 解密 恢复 会 话 密 钥 。 

。 用 会 话 密 钥 解 密 恢复 消息 M。 

PGP 结合 了 常规 密 钥 加 密 和 公开 密 钥 加 密 算法 ,一 是 时 间 上 的 考虑 ,对 称 加 密 算法 比 
公开 密 钥 加 密 速 度 快 很 多 倍 ; 二 是 公开 密 钥 解决 了 会 话 密 钥 分 配 问题 ,因为 只 有 接收 者 才 
能 用 私有 密 钥 解密 一 次 性 会 话 密 钥 。PGP 巧妙 地 将 常规 密 钥 加 密 和 公开 密 钥 加 密 结合 起 
来 ,从 而 使 会 话 安全 得 到 保证 。 


7.5.3 ”鉴别 与 机 密 性 


PGP 可 以 同时 提供 机 密 性 与 鉴别 。 当 加 密 和 认证 这 两 种 服务 都 需要 时 ,发 送 者 先 用 自 
已 的 私 钥 签 名 ,然后 用 会 话 密 钥 加 密 ,再 用 接收 者 的 公 钥 加 密会 话 密 钥 (如 图 7. 15(c) 所 
示 )。 在 这 里 要 注意 次 序 , 如 果 先 加 密 再 签名 的 话 , 别 人 可 以 将 签名 去 掉 后 签 上 自己 的 签名 ， 
从 而 算 改 签名 。 


7.5.4 压缩 


PGP 对 报 文 进行 压缩 ,这 有 利于 在 电子 邮件 传输 和 文件 存储 时 节省 空间 。 但 压缩 算法 
的 放置 位 置 比较 重要 ,在 默认 的 情况 下 , 放 在 签名 之 后 加 密 之 前 。 

在 压缩 之 前 生成 签名 有 如 下 两 个 理由 。 

中 对 没有 经 过 压缩 的 报 文 进行 签名 更 好 些 。 这 样 ,为 了 将 来 的 验证 就 只 需要 存储 没 压 
缩 的 报 文 和 签名 。 如 果 对 压缩 文档 签名 ,那么 为 了 将 来 的 验证 就 必须 或 者 存储 压缩 过 的 报 
文 ,或 者 在 需要 验证 时 更 新 压缩 报 文 。 

@ 即使 个 人 愿意 在 验证 时 动态 生成 重新 压缩 的 报 文 ,PGP 的 压缩 算法 也 存在 问题 。 算 
法 不 是 固定 的 ,算法 的 不 同 实 现在 运行 速度 和 压缩 比 上 进行 不 同 的 折 中 ,因此 产生 了 不 同 的 
压缩 形式 。 但 是 ,这 些 不 同 的 压缩 算法 是 可 以 互 操作 的 ,因为 任何 版 本 的 算法 都 可 以 正确 地 
解压 其 他 版 本 的 输出 。 如 果 在 压缩 之 后 应 用 散 列 函 数 和 签名 ,将 约束 所 有 的 PGP 实现 都 使 
用 同样 的 压缩 算法 。 

男 外 ,在 压缩 之 后 对 报 文 加 密 可 以 加 强加 密 的 强度 。 因 为 压缩 过 的 报 文 比 原始 明文 元 
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余 更 少 ,密码 分 析 更 加 困难 。 
7.5.5 电子 邮件 的 兼容 性 


当 使 用 PGP 时 ,至 少 传输 报 文 的 一 部 分 需要 被 加 密 。 如 果 只 使 用 签名 服务 ,那么 报 文 
摘要 被 加 密 ( 使 用 发 送 者 的 私有 密码 )。 如 果 使 用 机 密 性 服务 . 报 文 加 上 签名 (如 果 存 在 ) 被 
加 密 ( 使 用 一 次 性 的 对 称 密码 ) 。 因 此 ,部 分 或 全 部 的 结果 报 文 由 任意 的 8 位 二 进 制 流 组 成 。 
但 是 ,很 多 电子 邮件 系统 只 允许 使 用 ASCII 文本 。 为 了 满足 这 一 约束 ,PGP 提供 了 将 原始 
8 位 二 进 制 流 转换 成 可 打印 的 ASCII 字符 的 服务 。 

为 实现 这 一 目的 采用 的 方案 是 Radix64 转换 ,每 三 个 字 节 的 二 进 制 数据 为 一 组 映射 成 
4 个 ASCII 字符 。 这 种 格式 附加 了 CRC 校 验 来 检测 传输 错误 ,使 得 Radix64 将 报 文 的 长 度 
扩充 了 33%。 幸 运 的 是 报 文 的 会 话 密 钥 和 签名 部 分 相对 紧凑 ,并 且 明 文 报 文 已 经 进行 了 压 
缩 ,实际 上 压缩 足以 补偿 Radix64 的 扩展 。 因 此 ,整体 压缩 比 仍然 可 以 达到 三 分 之 一 。 

Radix64 算法 的 一 个 值得 注意 的 方面 是 它 将 输入 流转 换 成 Radix64 的 格式 时 ,并 不 管 
输入 流 的 内 容 , 即 使 输入 流 正好 是 ASCII 正文 。 因 此 ,如 果 报 文 被 签名 但 还 没有 被 加 密 ,并 
且 对 整个 分 组 应 用 上 述 转 换 , 输 出 的 结果 对 于 偶然 的 观察 者 是 不 可 读 的 ,这 提供 了 一 定 程度 
的 机 密 性 。 作 为 选项 ,PGP 可 以 配置 成 只 将 签名 的 明文 报 文 的 签名 部 分 转换 成 Radix64 的 
格式 ,这 可 以 使 得 接收 报 文 的 人 不 使 用 PGP 就 能 阅读 报 文 。 当 然 , 必 须 使 用 PGP 才能 验证 
签名 。 


7.5.6 分 段 与 重组 


电子 邮件 设施 经 常 受 限于 最 大 的 报 文 长 度 , 例 如 最 大 50KB 的 限制 。 任 何 长 度 超过 这 
个 数值 的 报 文 都 必须 划分 成 更 小 的 报 文 段 , 每 个 段 单独 发 送 。 

为 了 满足 这 个 约束 ,PGP 自动 将 太 长 的 报 文 划分 成 可 以 使 用 电子 邮件 发 送 的 足够 小 的 
报 文 段 。 分 段 是 在 所 有 其 他 的 处 理 ( 包 括 Radix64 转换 ) 完 成 之 后 才 进 行 的 ,因此 会 话 密 钥 
部 分 和 签名 部 分 只 在 第 一 个 报 文 段 的 开始 位 置 出 现 一 次 ; 在 接收 端 ,PGP 将 各 段 自 动 重 新 
装配 成 完整 的 原来 的 分 组 。 


7.5.7 PGP 密 钥 管理 


在 PGP 里 面 ,最 有 特色 的 或 许 就 是 它 的 密 钥 管理 。PGP 包含 4 种 密 钥 : 一 次 性 会 话 密 
钥 、 公 开 密 钥 、 私 有 密 钥 和 基于 口令 短语 的 常规 密 钥 。 

用 户 使 用 PGP 时 ,应 该 首先 生成 一 个 公开 密 钥 /私有 密 钥 对 。 其 中 公开 密 钥 可 以 公开 ， 
而 私有 密 钥 绝对 不 能 公开 。PGP 将 公开 密 钥 和 私有 密 钥 用 两 个 文件 存储 ,一 个 用 来 存储 该 
用 户 的 公开 /私有 密 钥 , 称 为 私有 密 钥 环 ; 另 一 个 用 来 存储 其 他 用 户 的 公开 密 钥 , 称 为 公开 
密 钥 环 。 

为 了 确保 只 有 该 用 户 可 以 访问 私有 和 密 钥 环 ,PGP 采用 了 比较 简洁 和 有 效 的 算法 。 当 用 
户 使 用 RSA 生成 一 个 新 的 公开 /私有 密 钥 对 时 ,输入 一 个 口令 短语 ,然后 使 用 散 列 算法 ( 例 
如 SHA-1) 生 成 该 口令 的 散 列 编码 ,将 其 作为 密 钥 ,采用 CAST-128 等 常规 加 密 算法 对 私有 
密 钥 加 密 ,存储 在 私有 密 钥 环 中 。 当 用 户 访问 私有 密 钥 时 ,必须 提供 相应 的 口令 短语 ,然后 
PGP 根据 口令 短语 获得 散 列 编码 ,将 其 作为 密 钥 ,对 加 密 的 私有 密 钥 解密 。 通 过 这 种 方式 ， 
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就 保证 了 系统 的 安全 性 依赖 于 口令 的 安全 性 。 

双方 使 用 一 次 性 会 话 密 钥 对 每 次 会 话 内 容 进行 加 解密 。 这 个 密 钥 本 身 是 基于 用 户 鼠 标 
和 键盘 击 键 时 间 而 产生 的 随机 数 。 

注意 : 每 次 会 话 的 密 钥 均 不 同 。 这 个 密 钥 经 过 RSA 或 Diffie-Hellman 加 密 后 和 报 文 
一 起 传送 到 对 方 。 

下 面 介 绍 PGP 的 公开 密 钥 管 理 。 假 设 A 想 要 获得 B 的 公开 密 钥 ,可 以 采取 几 种 方法 ， 
包括 复制 给 A、. 通 过 电话 验证 公开 密 钥 是 否 正确 .从 双方 都 信任 的 人 C 那里 获得 .从 认证 中 
心 获 得 等 。PGP 并 没有 建立 认证 中 心 这 样 的 概念 , 它 采 用 信任 机 制 。 公 开 密 钥 环 上 的 每 个 
实体 都 有 一 个 密 钥 合 法 性 字段 ,用 来 标识 信任 程度 。 信 任 级 别 包括 完全 信任 .少量 信任 、 不 
可 信任 和 不 认识 的 信任 等 。 当 新 来 一 个 公开 密 钥 时 ,根据 上 面 附加 的 签名 来 计算 信任 值 的 
权重 和 ,确定 信任 程度 。 

在 实际 应 用 中 ,所 有 PGP 用 户 可 以 签发 各 自 的 PGP 证 书 , 通 常 是 由 许多 公认 的 个 人 来 
签发 证 书 , 形 成 一 个 非 正 式 的 信任 网 ,要 与 一 个 用 户 建立 信任 关系 ,就 必须 信任 为 此 用 户 签 
发 证 书 的 人 , 它 只 适合 于 小 规模 的 用 户 群 体 。 


7.6 关键 术语 


密 钥 分 配 中 心 (Key Distribution Center, KDC) 
访问 许可 证 (Ticket) 

认证 符 (Cator) 

安全 套 接 字 层 (Secure Socket Layer,SSL) 
IPSec 安全 协议 (IP Security Protocol) 

安全 关联 SA(Security Association) 

传输 模式 (Transport Mode) 

隧道 模式 (Tunneling Mode) 


7.7 习 题 


简 述 Kerberos 的 基本 工作 过 程 。 

简 述 SSL 握手 的 过 程 。 

IPSec 中 ,ESP 和 AH 分 别 有 什 么 作用 ? 

AH 的 传输 模式 与 隧道 模式 有 何 区 别 ? 

ESP 的 传输 模式 与 隧道 模式 有 何 区 别 ? 

电子 邮件 存在 哪些 安全 性 问题 ? 

PGP 加 密 电 子 邮 件 时 ,邮件 的 主题 和 附件 是 否 被 加 密 ? 


A 
A 人 oD 
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本 章 导读 

后 公 钥 基础 设施 是 利用 公 钥 密码 理论 和 技术 建立 的 提供 安全 服务 的 基础 设施 ,用 于 创 
建 、 管 理 \ 存 储 、 分 发 和 撤销 数字 证 书 的 一 套 体系 。PKI 是 目前 网 络 安全 建设 的 基础 
与 核心 ,是 电子 商务 等 网 络 应 用 的 安全 实施 的 基本 保障 。 它 能 为 各 种 不 同安 全 需求 
的 用 户 提供 多 种 安全 服务 ,包括 身份 认证 、 数 据 保 密 性 、 数 据 完整 性 、 不 可 否认 性 和 
时 间 玲 服务 等 。 

局 公 钥 证 书 是 将 公 钥 信息 和 公 钥 持 有 人 进行 绑 定 的 一 个 载体 ,也 称 公 铀 证 书 , 它 由 权 
威 机 构 (CA) 采 用 数字 签名 技术 ,颁发 给 用 户 , 用 以 证 明 用 户 身份 的 一 种 数字 凭证 。 

局 X.509 定义 了 公 铀 证 书 的 格式 ,PKI 实现 中 使 用 了 X. 509 的 认证 格式 。 

如 作为 一 种 基础 设施 ,PKI 的 应 用 范围 非常 广泛 ,并 且 在 不 断 发 展 之 中 ,包括 在 Web 安 
全 通信 ,电子 邮件 和 虚拟 私有 网 (VPN) 等 。 


随 着 网 络 技术 和 信息 技术 的 发 展 ,各 种 网 络 应 用 蓬勃 发 展 ,特别 是 电子 商务 、 电 子 政务 
等 应 用 已 逐步 被 人 们 所 接受 ,并 在 得 到 不 断 普 及 。 这 些 网 络 应 用 中 的 信息 安全 问题 则 成 为 
重 中 之 重 , 必 须 从 技术 上 保证 在 网 上 交易 过 程 中 能 够 实现 身份 认证 和 识别 ; 网 上 的 交易 
信息 的 私密 性 需要 得 到 保护 ,提供 交易 信息 的 完整 性 、 交 易 中 各 方 对 交易 操作 的 不 可 否 

数字 证 书 认证 体系 技术 能 有 效 的 解决 上 述 安全 要 求 ,因此 在 国内 外 电子 商务 中 ,都 得 到 
了 广泛 的 应 用 。 将 数字 证 书 的 使 用 和 管理 作为 核心 的 公 钥 基础 设施 (Public Key 
Infrastructure, PKID) 成 为 目前 网 络 安全 建设 的 基础 与 核心 ,是 电子 商务 等 应 用 安全 实施 的 
基本 保障 ,对 PKI 技术 的 研究 和 开发 成 为 目前 信息 安全 领域 的 热点 。 


8.1 理论 基础 


PKI 是 利用 公 钥 密码 理论 和 技术 为 网 络 安全 应 用 提供 安全 服务 的 基础 设施 ,不 针对 任 
何 一 种 具体 的 网 络 应 用 ,但 它 提供 了 一 个 基础 平台 ,并 提供 友好 的 接口 。PKI 采用 数字 证 书 
对 公 钥 进行 管理 ,通过 第 三 方 的 可 信任 机 构 ( 认 证 中 心 , 即 CA), 把 用 户 的 公 钥 和 用 户 的 其 
他 标识 信息 捆绑 在 一 起 ,如 用 户 名 和 电子 邮件 地 址 等 信息 ,以 在 Internet 网 上 验证 用 户 的 身 
份 。 任 何 应 用 或 者 用 户 只 需要 知道 如 何 接 入 PKI 获得 服务 ,其 提供 的 安全 服务 对 于 用 户 是 
透明 的 。 简 单 来 说 ,PKI 的 主要 目的 是 通过 自动 管理 密 钥 和 证 书 , 为 用 户 建立 起 一 个 安全 的 
网 络 运行 环境 ,使 用 户 可 以 在 多 种 应 用 环境 下 方便 地 使 用 加 密 、 数 字 签 名 技术 等 多 种 密码 技 
术 , 从 而 保证 网 上 数据 的 安全 性 。 

作为 安全 的 基础 设施 PKI 需要 提供 的 是 基础 服务 。 安 全 基础 设施 就 是 为 整个 应 用 组 
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织 提供 安全 的 基本 框架 ,可 以 被 组 织 中 任何 需要 安全 的 应 用 和 对 象 使 用 。 安 全 基础 设施 的 
“ 接 入 点 ”必须 是 统一 的 ,便于 使 用 (就 像 墙 上 的 电源 插座 一 样 )。 安 全 基础 设施 的 主要 目标 
就 是 实现 “应 用 支撑 ”的 功能 。 从 某 种 意义 上 说 ,电力 系统 就 是 一 个 应 用 支撑 , 它 可 以 让 “应 
用 ”, 如 电灯 正常 地 工作 。 进 一 步 地 讲 , 由 于 电力 基础 设施 具有 通用 性 和 实用 性 的 特点 ,使 它 
能 支撑 新 的 "应 用 ”。 因 此 , 公 钥 基础 设施 为 了 能 够 提供 让 应 用 程序 增强 自己 的 数据 和 资源 
的 安全 的 一 个 基础 平台 ,应 该 提供 像 将 电器 设备 插入 墙 上 的 插座 一 样 简单 .易于 使 用 的 接 
口 ; 基础 设施 提供 的 服务 是 可 预测 且 有 效 的 ;: 上 层 应 用 无 需 了 解 基础 设施 如 何 提供 服务 即 
可 有 效 的 使 用 其 提供 的 安全 服务 。 
下 面 我 们 将 首先 介绍 PKI 中 涉及 的 安全 服务 概念 和 密码 技术 。 


8.1.1 网 络 安 全 服务 


ITU-T 推荐 方案 X. 800, 即 OSI 安全 框架 ,对 安全 框架 给 出 了 一 种 概念 上 的 定义 。 
eh gn rand ei 
这 些 安全 特性 ,这 些 产 品 和 服务 与 安全 服务 和 安全 机 制 的 结构 化 定义 相互 关联 。OSI 对 安 
全 攻击 、 安 全 机 制 和 安全 服务 都 给 出 了 定义 。 
网 络 攻击 (或 称 网 络 威胁 ) 分 为 被 动 攻 击 和 主动 攻击 。 被 动 攻击 主要 指 消息 内 容 的 汇 
露 , 即 信息 被 泄露 或 透露 给 某 个 非 授权 实体 ,这 种 信息 泄露 主要 是 来 自 于 攻击 者 对 网 络 通 信 
进行 窃听 、 流 量 分 析 等 信息 探测 攻击 。 即 使 使 用 了 加 密 机 制 的 消息 ,攻击 者 也 可 能 会 获得 某 
种 消息 模式 ,用 以 确定 通信 实体 的 身份 和 位 置 ,获取 消息 的 频率 和 长 度 等 。 主 动 攻击 主要 指 
对 信息 的 修改 和 伪造 ,包括 如 下 内 容 。 
。 伪造 : 攻击 者 假冒 某 个 实体 ,或 者 伪造 某 个 消息 ,如 获取 认证 信息 并 在 一 段 时 间 之 
后 重 放 该 认证 信息 以 欺骗 合法 方 。 破 坏 身 份 的 认证 性 。 

。 重 放 : 将 消息 截获 后 再 次 发 送 以 产生 非 授权 的 效果 。 破 坏 消 息 的 认证 性 。 

。 消息 算 改 : 破坏 消息 的 完整 性 ,修改 合法 消息 的 一 部 分 或 延迟 消息 的 传输 或 改变 消 
息 的 顺序 以 获得 非 授 权 的 效果 。 

。 拒绝 服务 攻击 : 阻止 或 禁止 对 通信 设施 的 正常 使 用 和 管理 ,使 得 信息 或 资源 的 合法 

访问 被 无 条 件 拒绝 。 

为 了 防止 上 述 安全 威胁 ,加 强 数据 处 理 系统 和 信息 传输 的 安全 性 的 一 种 处 理 过 程 或 通 
信服 务 , 称 为 安全 服务 ,其 目的 在 于 使 用 一 种 或 多 种 安全 机 制 进行 反攻 击 。X. 800 将 安全 服 
务 定义 为 通信 开发 系统 协议 层 提供 的 服务 ,从 而 保证 系统 或 数据 传输 有 足够 的 安全 性 ,并 将 
服务 进行 了 分 类 ,这 里 我 们 给 出 和 PKI 相关 的 安全 服务 类 型 。 

。 认证 性 : 认证 服务 与 保证 通信 的 真实 性 有 关 。 认 证 服务 向 接收 方 保证 消息 来 自 于 

所 声称 的 发 送 方 。 认 证 性 包括 实体 认证 和 数据 源 认 证 。 实 体 认 证 是 用 于 逻辑 连接 
时 为 通信 的 实体 之 间 提 供 身 份 可 信人 性 认证 : 数据 源 认 证 指 的 是 在 无 连接 传输 时 保 
证 收 到 的 消息 来 源 是 其 所 声称 的 来 源 。 

。 数据 保密 性 : 防止 传输 的 信息 收 到 被 动 攻击 ,这 包括 信息 内 容 的 泄露 ,以 及 防止 流 

量 攻 击 ,使 得 攻击 者 无 法 获得 消息 相关 的 信息 ,如 消息 的 源 、 宿 .长 度 等 信息 。 
。 数据 完整 性 : 保证 消息 在 通信 中 没有 被 攻击 者 咎 改 。 处 理 消息 流动 面向 连接 的 完 
整 性 服务 保证 收 到 的 消息 和 发 出 的 消息 一 致 :没有 被 复制 插入、 修改 .更 改 顺序 或 
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重 放 。 无 连接 的 完整 性 服务 ,仅仅 防止 对 单条 消息 的 修改 ,而 不 管 大 量 的 上 下 文 
信息 。 

。 不 可 否认 性 : 防止 信息 发 送 方 或 接收 方 否认 传输 或 接受 过 某 条 消息 。 当 消息 发 出 
后 ,接收 方 可 以 证 明 消 息 确实 由 声称 的 发 送 方 发 出 ; 当 消 息 接收 后 ,发 送 方 能 证 明 
消息 确实 由 声称 的 接收 方 收 到 。 

。， 访 问 控制 : 限制 和 控制 通过 通信 连接 对 主机 和 应 用 进行 存 取 的 能 力 。 每 个 试图 获 
得 访问 控制 的 实体 必须 被 识别 或 认证 后 才能 获得 相应 的 存 取 权 限 。 


8.1.2 密码 技术 


虽然 PKI 是 基于 公 钥 密码 体制 的 ,但 是 其 实现 和 上 层 应 用 综合 使 用 了 其 他 多 种 密码 技 
术 , 包 括 对 称 和 非 对 称 加 /解密 、 数 字 签名 、 消 息 认证 码 、 散 列 函 数 、 数 字 证 书 、 数 字 信 封 和 双 
重 数字 签名 等 。 

1. 对 称 和 非 对 称 加 /解密 

对 称 加 密 机 制 也 称 单 角 密码 技术 , 即 加 密 密 钥 和 解密 密 钥 是 相同 的 。 对 称 密码 加 密 机 
制 的 特点 是 : 保密 性 好 ,计算 效率 高 ,处 理 速度 快 ,适合 于 大 数据 量 的 加 /解密 。 但 是 缺点 
是 : 对 于 密 钥 的 分 发 管理 困难 。 

非 对 称 密码 体制 也 称 为 公 钥 密码 体制 后 双 钥 密码 体制 , 它 不 仅 可 以 提供 加 /解密 功能 ， 
还 可 以 实现 数字 签名 。 密 码 机 制 中 使 用 一 对 密 钥 ,一 个 可 以 公开 ,成 为 公 钥 ,一 个 由 用 户 秘 
密 保存 ,成 为 私 钥 。 公 钥 和 私 钥 是 不 同 的 , 且 从 公 钥 推出 私 钥 是 计算 上 不 可 行 的 ,这 是 非 对 
称 密码 机 制 的 基本 安全 要 求 之 一 。 非 对 称 密码 机 制 的 特点 是 : 便于 密 钥 的 分 发 管理 .可 以 
实现 数字 签名 。 缺 点 是 : 计算 上 效率 低 ,不 适合 大 数据 量 的 处 理 。 

因此 ,对 称 加 密 和 非 对 称 加 密 虽 然 都 可 以 提供 加 /解密 功能 ,但 是 在 实际 应 用 中 ,彼此 并 
不 能 完全 替代 ,通常 采用 混合 使 用 的 模式 ,重复 发 挥 两 种 密码 机 制 的 特点 ,如 使 用 非 对 称 密 
码 机 制 交换 对 称 会 话 密 钥 或 短 的 认证 信息 ,使 用 对 称 密码 机 制 加 密 大 数据 量 的 消息 。 

2. 消息 认证 码 与 散 列 函数 

消息 认证 码 是 保证 数据 完整 性 的 加 密 技 术 , 它 使 用 密 钥 对 消息 进行 加 密 处 理 , 生 成 一 段 
短 数 据 块 , 作 为 消息 的 认证 码 , 这 个 认证 码 和 消息 的 每 一 位 都 相关 ,原始 消息 的 任何 一 位 的 
修改 都 会 反映 到 这 小 段 数据 上 。 因 此 , 它 可 以 用 来 判断 原 数 据 是 否 被 算 改 。PKI 中 广泛 使 
用 消息 认证 码 技术 ,从 而 提供 数据 的 完整 性 服务 。 

散 列 函数 和 消息 认证 码 函 数 功能 类 似 , 也 是 对 消息 产生 一 段 短 的 数据 块 , 作 为 和 原始 消 
息 相 关 的 认证 信息 ,但 是 不 同 的 是 散 列 函数 不 使 用 密 钥 信息 。 这 就 意味 着 它 的 使 用 和 消息 
认证 码 函 数 不 同 。 在 PKI 中 , 散 列 函数 通常 和 非 对 称 密码 机 制 结合 使 用 ,用 来 实现 数字 
签名 。 

3. 数字 签名 

数字 签名 是 PKI 中 提供 的 典型 应 用 , 它 基 于 非 对 称 密码 机 制 实现 ,使 用 签名 私 钥 对 消 
息 进 行 签名 处 理 , 得 到 一 段 信息 和 原 消息 一 起 发 送 或 存放 ,实现 和 现实 中 类 似 的 手写 签名 一 
样 的 效果 。 任 何 获得 和 签名 私 钥 对 于 的 公 钥 的 人 或 实体 都 可 以 对 消息 的 签名 进行 验证 , 判 
断 其 签名 的 合法 性 。 数 字 签 名 可 以 提供 身份 认证 ,数据 完整 性 、 不 可 否认 性 等 安全 服务 。 
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根据 非 对称 密 码 体制 的 特点 ,数字 签名 在 应 用 中 的 实现 主要 有 两 种 形式 。 

(1) 直接 使 用 签名 私 钥 进行 数字 签名 : 这 种 方式 适合 于 对 数据 量 小 的 信息 进行 签名 。 

(2) 结合 散 列 函数 实现 数字 签名 : 这 种 方式 适合 对 数据 量 大 的 信息 进行 签名 。 首 先 对 
被 签名 的 消息 计算 散 列 值 , 然 后 使 用 私 钥 对 消息 散 列 值 而 不 是 直接 对 消息 进行 签名 。 验 证 
者 收 到 消息 及 签名 后 ,首先 是 使 用 散 列 函数 计算 出 所 收 到 的 消息 的 散 列 值 ,然后 使 用 公 钥 对 
该 散 列 值 以 及 收 到 的 数字 签名 进行 验证 。 

4. 数字 信封 

所 谓 数 字 信 封 , 就 是 消息 发 送 方 用 接收 方 的 公 钥 ,对 本 次 会 话 的 对 称 会 话 密 钥 进 行 加 
密 , 同 时 使 用 这 个 对 称 密 钥 对 传输 的 其 他 消息 进行 加 密 , 然 后 将 这 两 部 分 密 文 都 传送 给 接收 
方 。 接 收 方 收 到 两 端 密 文 后 ,首先 是 要 自己 的 私 钥 解 密 得 到 对 称 密 钥 , 然 后 使 用 对 称 密 钥 解 
密 另 外 一 端 密 文 。 其 中 发 送 方 对 于 对 称 密 钥 的 加 密 处 理 得 到 的 密 文 , 就 好 像 是 将 钥匙 放 在 
一 个 信封 中 传送 给 接收 方 ,因此 成 为 数字 信封 。 数 字 信 封 是 PKI 中 对 于 加 密 、 数 字 签 名 和 
散 列 函 数 的 综合 使 用 ,是 比较 常用 的 一 种 技术 。 

数字 信封 的 具体 操作 如 图 8. 1 所 示 。 

发 送 者 A 接收 者 B PUA 


十 验证 结果 
= 国 


PRA PUB PRB 


8.1 数字 信封 


(1) 首先 发 生 方 A 对 消息 M 计算 散 列 值 。 

(2) A 使 用 自己 的 私 钥 PRA 对 散 列 值 进 行 签名 ,得 到 对 消息 的 数字 签名 。 

(3) A 将 消息 明文 .数字 签名 和 自己 的 公 钥 PU ,使 用 对 称 密 钥 K 进行 加 密 处 理 , 得 到 
密 文 EE。 

(4) A 使 用 接收 方 的 公 钥 PUs 对 于 K 进行 加 密 处 理 , 形 成 一 个 数字 信封 。 

(5) A 将 (3) 中 得 到 的 密 文 和 (4) 中 得 到 的 数字 信封 ,发 送 给 B。 

(6) B 收 到 消息 后 ,首先 是 要 自己 的 私 钥 PRs 对 数字 信封 进行 解密 ,获得 对 称 密 钥 K 。 

(7) B 使 用 KK 对 密 文 EE 进行 解密 得 到 消息 原文 .数字 签名 和 A 的 公 钥 信息 。 

(8) B 使 用 散 列 函数 计算 消息 原文 的 散 列 值 。 

(9) B 使 用 公 钥 PUA 验证 对 散 列 值 的 数字 签名 是 否 合 法 。 

5. 双重 数字 签名 

所 谓 双 重 签名 ,是 指 发 送 者 需要 发 送 两 组 相关 的 信息 给 接收 者 ,对 这 两 组 相关 信息 , 接 
收 者 只 能 解读 其 中 的 一 组 ,而 另 一 组 只 能 直接 转发 给 第 三 方 接收 者 。 这 种 应 用 中 使 用 的 两 
组 数字 签名 称 为 双重 数字 签名 。 

数字 签名 在 SET 协议 中 一 个 重要 的 应 用 就 是 双重 签名 。 在 交易 中 持 卡 人 发 往 银 行 的 
支付 指令 是 通过 商家 转发 的 ,为 了 避免 在 交易 的 过 程 中 商家 窃取 持 卡 人 的 信用 卡 信息 ,以 及 
避免 银行 跟踪 持 卡 人 的 行为 ,侵犯 消费 者 隐私 ,但 同时 又 不 能 影响 商家 和 银行 对 持 卡 人 所 发 


_ 
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信息 的 合理 的 验证 ,只 有 当 商 家 同意 持 卡 人 的 购买 请 求 后 , 才 会 让 银行 给 商家 付费 ,SET 协 
议 采 用 双重 签名 来 解决 这 一 问题 。 


8.2 PKI 的 组 成 


PKI 作为 一 组 在 分 布 式 计 算 系 统 中 利用 公 钥 技术 和 X. 509 证 书 所 提供 的 安全 服务 ,能 
够 为 所 有 网 络 应 用 透明 的 提高 加 密 、 数 字 签 名 等 密码 服务 所 需要 的 密 钥 和 证 书 管理 。PKI 
在 实际 应 用 上 是 一 套 软 硬 件 系统 和 安全 策略 的 集合 , 它 提 供 了 一 整套 安全 机 制 ,使 用 户 在 不 
知道 对 方 身份 或 分 布地 很 广 的 情况 下 ,以 证 书 为 基础 ,通过 一 系列 的 信任 关系 进行 通信 和 电 
子 商 务 交 易 。 一 个 典型 的 PKI 系统 如 图 8.2 和 图 8. 3 所 示 , 其 中 包括 PKI 策略 、 软 硬件 系 
统 、. 认 证 机 构 (Certificate Authority, CA) .注册 机 构 (Register Authority, RA) .证 书 发 布 系 
统 和 PKI 应 用 接口 等 。 


| | PKI 策 略 软 硬 件 系统 | | 
1 1 
和 ew 


图 8.2 一 个 典型 的 PKI 系统 的 组 成 
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RA 管理 员 IE INR 安 1! 
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[| 四 
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图 8.3 PKI 的 组 成 结构 


PKI 安全 策略 建立 和 定义 了 一 个 信息 安全 方面 的 指导 方针 ,同时 也 定义 了 密码 系统 使 
用 的 处 理 方法 和 原则 。 它 包括 一 个 组 织 怎样 处 理 密 钥 和 有 价值 的 信息 ,根据 风险 的 级 别 定 
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义 安全 控制 的 级 别 。 一 般 情况 下 ,在 PKI 中 有 两 种 类 型 的 策略 : 一 是 证 书 策略 ,用 于 管理 证 
书 的 使 用 ; 另外 一 个 就 是 证 书 使 用 声明 (Certificate Practice Statement,CPS)。 一 些 由 商业 
证 书 发 放 机 构 (CCA) 或 者 可 信 的 第 三 方 操 作 的 PKI 系统 需要 CPS。 这 是 一 个 包含 如 何在 
实践 中 增强 和 支持 安全 策略 的 一 些 操 作 过 程 的 详细 文档 。 它 包括 CA 是 如 何 建立 和 运作 
的 ,证 书 是 如 何 发 行 、 接 收 和 撤销 的 , 密 钥 是 如 何 产生 注册 的 ,以 及 密 钥 是 如 何 存储 的 ,用 户 
是 如 何 得 到 它 的 等 。 

证 书 机 构 CA 是 PKI 的 信任 基础 , 它 管理 公 钥 的 整个 生命 周期 ,其 作用 包括 : 发 放 证 
书 ,规定 证 书 的 有 效 期 和 通过 发 布 证 书 撤销 列表 (Certificate Revocation Lists,CRL) 确 保 必 
要 时 可 以 撤销 证 书 。 

注册 机 构 RA 提供 用 户 和 CA 之 间 的 一 个 接口 , 它 获取 并 认证 用 户 的 身份 ,向 CA 提出 
证 书 请 求 。 这 里 指 的 用 户 , 是 指 将 要 向 认证 中 心 ( 即 CA) 申 请 数字 证 书 的 客户 ,可 以 是 个 
人 ,也 可 以 是 集团 或 团体 、 某 政府 机 构 等 。 注 册 机 构 RA 是 CA 的 证 书 发 放 、 管 理 的 延伸 。 
它 主 要 负责 : 接收 和 验证 新 注册 人 的 注册 信息 ; 代表 最 终 用 户 生 成 密 钥 对 ; 接收 和 授权 密 
钥 备 份 和 恢复 请 求 ; 接收 和 授权 证 书 吊 销 请 求 ; 按 需 分 发 或 恢复 硬件 设备 ,如 令 牌 。 注 册 
管理 一 般 由 一 个 独立 的 注册 机 构 ( 即 RA) 来 承担 。 它 接受 用 户 的 注册 申请 ,审查 用 户 的 申 
请 资格 ,并 决定 是 否 同意 CA 给 其 签发 数字 证 书 。 注 册 机 构 并 不 给 用 户 签发 证 书 , 而 只 是 对 
用 户 进 行 资格 审查 。 因 此 ,RA 可 以 设置 在 直接 面 对 客 户 的 业务 部 门 ,如 银行 的 营业 部 、 机 
构 认 识 部 门 等 。 对 于 一 个 规模 较 小 的 PKI 应 用 系统 来 说 ,可 把 注册 管理 的 职能 由 认证 中 心 
CA 来 完成 ,而 不 设立 独立 运行 的 RA。 但 这 并 不 是 取消 了 PKI 的 注册 功能 ,而 只 是 将 其 作 
为 CA 的 一 项 功能 而 已 。PKI 国际 标准 推荐 由 一 个 独立 的 RA 来 完成 注册 管理 的 任务 ,可 
以 增强 应 用 系统 的 安全 。 

证 书 发 布 系统 负责 证 书 的 发 放 , 如 可 以 通过 用 户 自己 ,或 是 通过 目录 服务 。 目 录 服 务 器 
可 以 是 一 个 组 织 中 现存 的 ,也 可 以 是 PKI 方 案 中 提供 的 。 

一 个 PKI 系统 还 必须 包括 相应 的 证 书库 存储 证 书 。 证 书 存 储 库 包 括 LDAP 目录 服务 
器 和 普通 数据 库 , 用 于 对 用 户 申 请 证书、 密 钥 .CRL 和 日 志 等 信息 进行 存储 和 管理 ,并 提供 
一 定 的 查询 功能 。 

换 一 种 角度 说 ,PKI 系统 的 构建 必须 包括 认证 机 构 .证 书库 、 密 钥 备 份 及 恢复 系统 .证书 
撤销 系统 .PKI 应 用 接口 等 基本 成 分 。 


8.2.1 认证 机 构 


认证 机 构 CA 是 PKI 的 核心 组 成 部 分 ,是 证 书 的 颁发 机 构 。PKI 的 服务 都 是 围绕 对 密 
钥 的 管理 展开 的 ,这 里 管理 的 密 钥 指 的 是 公 钥 / 私 钥 对 。PKI 中 对 公 钥 的 管理 是 通过 进入 数 
字 证 书 机 制 来 实现 的 。 认 证 中 心 的 任务 就 是 负责 产生 、 分 配 并 管理 数字 证 书 。 每 一 份 数字 
证 书 都 与 上 一 级 的 数字 签名 证 书 相关 联 , 最 终 通过 安全 链 追 溯 到 一 个 已 知 的 并 被 广泛 认为 
是 安全 ,权威 .足以 信赖 的 机 构 根 认证 中 心 ( 根 CA) 。 

数字 证 书 也 称 为 公 角 证书. 电子 证 书 , 是 公 钥 体 制 中 使 用 的 公 钥 的 一 个 密 钥 管理 载体 ， 
它 是 一 种 权威 性 的 电子 文档 , 形 同 网 络 环境 中 的 一 种 身份 证 ,用 以 证 明 某 个 主题 (如 用 户 、 服 
务 器 等 ) 的 身份 以 及 其 所 持 有 的 公开 密 钥 的 真实 性 和 合法 性 。 而 认证 机 构 则 是 这 样 一 个 可 
信 机 构 , 它 对 任何 主体 的 公 钥 进行 公证 ,并 证 明 主 体 的 身份 ,以 及 他 与 所 持 有 的 公 钥 之 间 的 
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匹配 关系 。 认 证 机 构 的 主要 职责 如 下 。 
。 验证 并 标识 证 书 申请 者 的 身份 。 
。 确保 CA 用 于 签名 证 书 的 非 对 称 密 钥 的 质量 。 
。 确保 整个 认证 过 程 的 安全 性 ,确保 签名 私 钥 的 安全 性 。 
。 证 书 资料 信息 (包括 公 钥 证 书 序列 号 .CA 标识 等 ) 的 管理 。 
。 确定 并 检查 证 书 的 有 效 期 。 
。 确 保证书 主题 标识 的 唯一 性 ,防止 重 名 。 
。 发 布 并 维护 作废 证 书 列表 。 
。 对 整个 证 书签 发 过 程 做 日 志 记 录 。 
。 向 申请 人 发 出 通知 。 
其 中 CA 对 所 颁发 的 证 书 的 数字 签名 保证 了 证 书 的 有 效 性 和 权威 性 ,因此 CA 需要 保 
护 好 自己 的 一 对 密 钥 ,确保 其 高 度 的 机 密 性 ,防止 他 方 伪造 证 书 。CA 的 公 钥 在 网 上 公开 ， 
整个 网 络 系统 必须 保证 完整 性 。 
主体 的 公 钥 可 以 由 如 下 方式 产生 ,然后 由 CA 对 其 进行 数字 签名 。 
。 用 户 自己 生成 密 钥 对 ,然后 将 公 钥 以 安全 的 方式 传送 给 CA ,这 种 方法 的 优点 是 用 户 
私 钥 不 会 传播 给 其 他 实体 ,但 该 过 程 必须 保证 用 户 公 钥 的 可 验证 性 和 完整 性 。 
。 密 钥 对 由 CA 产生 ,然后 将 其 以 安全 的 方式 传送 给 用 户 。 认 证 机 构 是 用 户 信 任 的 实 
体 ,并 且 具 有 必要 的 安全 的 安全 手段 ,这 是 一 种 比较 合适 的 选择 。 该 过 程 必须 确保 
密 钥 对 待机 密 性 、 完 整 性 和 可 验证 性 ,这 种 方式 对 CA 的 可 信 性 要 求 更 高 。 


8.2.2 证 书 和 证 书库 


证 书库 是 CA 颁发 证 书 和 撤销 证 书 的 集中 存放 地 ,是 网 上 一 种 公共 信息 库 , 可 供用 户 进 
行 开放 式 查询 。 

证 书库 的 通常 构造 方法 是 采用 支持 LDAP 协议 的 目录 系统 。 证 书 及 证 书 撤销 信息 在 
目录 系统 上 发 布 ,其 标准 格式 采用 X. 500 系列 。 用 户 或 相关 应 用 可 以 通过 LDAP 来 访问 证 
书库 ,实时 查询 证 书 和 证 书 撤销 信息 。 系 统 必须 保证 证 书库 的 完整 性 ,防止 伪造 、 臭 改 证 书 。 

证 书库 中 存放 到 数字 证 书 是 一 个 经 CA 数字 签名 的 包含 公开 密 钥 拥有 者 信息 和 公开 密 
钥 的 文件 ,证 书 的 权威 性 取决 于 该 机 构 的 权威 性 。 最 简单 的 证 书包 含 一 个 公开 密 钥 .名称 以 
及 证 书 授权 中 心 的 数字 签名 。 一 般 情况 下 证 书 中 还 包括 密 钥 的 有 效 时 间 ,发 证 机 关 ( 证 书 授 
权 中 心 ) 的 名 称 、 该 证 书 的 序列 号 等 信息 。 

证 书 是 PKI 的 管理 核心 ,PKI 适 用 于 异 构 环 境 中 ,所 以 证 书 的 格式 在 所 使 用 的 范围 内 
必须 统一 。 证 书 的 格式 遵循 ITUT X. 509 国际 标准 ,关于 该 标准 后 续 章 节 中 会 详细 介绍 。 

X. 509 目前 有 三 个 版 本 : v1、v2 和 v3, 其 中 v3 是 在 v2 的 基础 上 加 上 扩展 项 后 的 版 本 ， 
这 些 扩 展 包括 由 ISO 文档 (X. 509-AM) 定 义 的 标准 扩展 ,也 包括 由 其 他 组 织 或 团体 定义 或 
注册 的 扩展 项 。 为 了 适应 新 的 需求 ISO/IEC 和 ANSI X9 发 展 了 X. 509 v3 版 本 证 书 格式 ， 
该 版 本 证 书 通过 增加 标准 扩展 项 对 vl 和 v2 证 书 进 行 了 扩展 。 另 外 ,根据 实际 需要 ,各 个 组 
织 或 团体 也 可 以 增加 自己 的 私有 扩展 。 

X. 509 vl 和 v2 证 书 所 包含 的 主要 内 容 如 下 。 

。 证 书 版 本 号 : 指明 X. 509 证 书 的 格式 版 本 。 
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。 证 书 序列 号 : 序列 号 指定 由 CA 分 配给 证 书 的 唯一 的 数字 型 标识 符 。 当 证 书 被 取消 
时 , 则 将 此 证 书 的 序列 号 放 入 由 CA 签发 的 CRL 中 。 

。 签名 算法 标识 符 : 指定 由 CA 签发 证 书 时 所 使 用 的 签名 算法 。 算 法 标识 符 用 来 指定 
CA 签发 证 书 时 所 使 用 的 公开 密 钥 算法 和 Hash 算法 , 需 知 名 标准 组 织 ( 如 ISO) 

。 签发 机 构 名 : 标识 签发 证 书 的 CA 的 X. 500 DN 名 字 。 包 括 国家 、 省 市 .地 区 组织 
机 构 、 单 位 部 门 和 通用 名 。 

。 有 效 期 : 指定 证 书 的 有 效 期 ,包括 证 书 开始 生效 的 日 期 和 时 间 以 及 失效 的 日 期 和 时 
间 。 每 次 使 用 证 书 时 ,需要 检查 证 书 是 否 在 有 效 期 内 。 

。 证 书 用 户 名 : 指定 证 书 持 有 者 的 X. 500 唯一 名 字 。 包 括 国家 、 省 市 .地 区 、 组 织 机 
构 .单位 部 门 和 通用 名 ,还 可 包含 E-mail 地 址 等 个 人 信息 等 。 

。 证 书 持 有 者 公 钥 信息 : 证 书 持 有 者 公开 密 钥 信息 域 包含 两 个 重要 信息 : 证 书 持 有 者 
的 公开 密 钥 的 值 ; 公开 密 钥 使 用 的 算法 标识 符 。 此 标识 符 包含 公开 密 钥 算法 和 
Hash 算法 。 

。 签发 者 唯一 标识 符 : 签发 者 唯一 标识 符 在 v2 版 加 入 证 书 定义 中 。 此 域 用 在 当 同 一 
个 X. 500 名 字 用 于 多 个 认证 机 构 时 ,用 一 比特 字符 串 来 唯一 标识 签发 者 的 X. 500 
名 字 。 可 选 。 

。 证 书 持 有 者 唯一 标识 符 : 持 有 证 书 者 唯一 标识 符 在 v2 版 的 标准 中 加 入 X. 509 证 书 
定义 。 此 域 用 在 当 同 一 个 X. 500 名 字 用 于 多 个 证 书 持 有 者 时 ,用 一 比特 字符 串 来 唯 
一 标识 证 书 持 有 者 的 X. 500 名 字 。 可 选 。 

。 签名 值 : 证 书签 发 机 构 对 证 书 上 述 内 容 的 签名 值 。 

X. 509 v3 证 书 是 在 v2 的 基础 上 一 标准 形式 或 普通 形式 增加 了 扩展 项 ,以 使 证 书 能 够 
附带 额外 信息 。 标 准 扩展 是 指 由 X. 509 v3 版 本 定义 的 对 v2 版 本 增加 的 具有 广泛 应 用 前 景 
的 扩展 项 ,任何 人 都 可 以 向 一 些 权 威 机 构 , 如 ISO. 来 注册 一 些 其 他 扩展 ,如 果 这 些 扩展 项 应 
用 广泛 ,也 许 以 后 会 成 为 标准 扩展 项 。 数 字 证 书 的 格式 见 第 4 章 。 


8.2.3 证 书 撤销 


CA 签发 证 书 来 捆绑 用 户 的 身份 和 公 钥 。 和 各 种 其 他 类 型 的 证 件 一 样 , 证 书 在 有 效 期 
内 可 能 因为 一 些 原 因 需 要 撤销 用 户 信息 和 公 钥 的 捆绑 关系 ,如 用 户 姓名 的 改变 .用 户 与 所 属 
团体 的 关系 发 生变 更 、 私 钥 泄 露 等 。 

这 就 需要 终止 证 书 的 生命 期 ,并 警告 其 他 用 户 不 再 使 用 这 个 证 书 。PKI 为 此 提供 了 证 
书 撤销 的 管理 机 制 ,撤销 证 书 有 以 下 几 种 机 制 。 

(1) 撤销 一 个 或 多 个 主体 的 证 书 。 

(2) 撤销 由 某 一 对 密 钥 签发 的 所 有 证 书 。 

(3) 撤销 由 CA 签发 的 所 有 证 书 。 

一 般 CA 通过 发 布 证 书 撤销 列表 CRL 来 发 布 撤销 信息 。CRL 是 由 CA 签名 的 一 组 电 
子 文档 ,包括 了 被 撤销 证 书 的 唯一 标识 (证 书 序列 号 ) 。CRL 为 应 用 程序 和 其 他 系统 提供 了 
一 种 检验 证 书 有 效 性 的 方式 。 任 何 一 个 证 书 被 撤销 后 ,CA 会 通过 发 布 CRL 的 方式 来 通知 
各 方 。 目 前 , 同 X. 509 v3 证 书 对 应 的 CRL 为 X. 509 v2 CRL, 其 所 包含 的 内 容 格式 如 下 。 
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。 CRL 的 版 本 号 : 0 表示 X. 509 vl 标准 ; 1 表示 X. 509 v2 标准 ; 目前 常用 的 是 同 
X. 509 v3 证 书 对 应 的 CRL v2 版 本 。 
。 签名 算法 : 包含 算法 标识 和 算法 参数 ,用 于 指定 证 书签 发 机 构 用 来 对 CRL 内 容 进行 


签名 的 算法 。 

。 证 书签 发 机 构 名 : 签发 机 构 名 ,由 国家 省 市 地区、 组 织 机 构 、. 单 位 部 门 和 通用 名 等 
组 成 。 

。 本 次 签发 时 间 : 本 次 CRL 的 发 布 时 间 , 以 UTCTime 或 GeneralizedTime 的 形式 
表示 。 


。 下 次 签发 时 间 : 下 次 CRL 发 布 时 间 , 和 本 次 签发 时 间 的 表示 形式 一 致 。 

。 用 户 公 钥 信息 : 其 中 包括 撤销 的 证 书 序 列 号 和 证 书 撤销 时 间 。 撤 销 的 证 书 序列 号 
是 指 要 撤销 的 由 同一 个 CA 签发 的 证 书 的 一 个 唯一 标识 号 ,同一 机 构 签 发 的 证 书 不 
会 有 相同 的 序列 号 。 

。 签名 算法 : 对 CRL 内 容 进行 签名 的 签名 算法 。 

。 签名 值 : 证 书签 发 机 构 对 CRL 内 容 的 签名 值 。 

另外 ,CRL 中 还 包含 扩展 域 和 条 目 扩展 域 。CRL 扩展 域 用 于 提供 与 CRL 有 关 的 额外 
信息 部 分 ,人 允许 团体 和 组 织 定义 私有 的 CRL 扩展 域 来 传送 他 们 独 有 的 信息 ; CRL 条 目 扩 展 
域 则 提供 与 CRL 条 目 有 关 的 额外 信息 部 分 ,允许 团体 和 组 织 定义 私有 的 CRL 条 目 扩展 域 
来 传送 他 们 独 有 的 信息 。 

另外 ,CRL 一 般 通 过 网 上 下 载 的 方式 存储 在 用 户 端 。 如 果 合 适 , 在 撤销 一 个 用 户 的 证 
书 时 应 提供 一 个 新 的 证 书 ,CA 以 离线 方式 通知 证 书 拥有 者 证 书 已 被 撤销 。CA 必须 维护 颁 
发 被 撤销 的 带 时 间 标 记 的 证 书 列表 。 

对 证 书 撤销 信息 的 查询 ,也 可 以 使 用 在 线 查询 方式 。 在线 证 书 状态 协议 (Online 
Certificate Status Protocol,OCSP) 是 IETF 颁布 的 用 于 检查 数字 证 书 在 某 一 交易 时 间 是 否 
有 效 的 标准 ,可 以 实时 进行 这 类 检查 , 比 下 载 和 处 理 CRL 的 传统 方式 更 快 、 更 方便 和 更 具 独 
立 性 。 为 立即 检查 证 书 是 否 被 撤销 ,用 户 的 客户 机 必须 形成 请 求 ,并 将 请 求 转发 到 一 个 
OCSP 应 答 器 , 即 网 络 中 保存 最 新 撤销 信息 的 服务 器 应 用 程序 。 应 答 器 对 请 求 给 予 回 答 。 
证 书 机 构 或 其 他 实体 向 作为 公共 密 钥 基础 设施 的 可 信 体 系 组 成 部 分 的 可 信赖 机 构 提 供 
OCSP 应 答 器 。 对 于 使 用 OCSP 应 答 器 的 用 户 来 说 ,获得 这 一 信息 的 最 佳 途径 是 使 证 书 机 
构 将 信息 直接 输入 到 应 答 器 中 。 根 据 证 书 机 构 与 OCSP 应 答 器 之 间 的 关系 ,证 书 机 构 可 以 
转发 即时 的 通知 或 证 书 撤销 信息 ,并 且 这 些 信 息 可 以 立即 提供 给 用 户 。 


8.2.4 密 钥 备份 和 恢复 


密 钥 的 备份 和 恢复 是 PKI 中 的 一 个 重要 内 容 。 因 为 可 能 很 多 原因 造成 丢失 解密 数据 
的 密 钥 ,那么 被 加 密 的 密 文 将 无 法 解 开 , 造 成 数据 丢失 。 为 了 避免 这 种 情况 的 发 生 , PKI 提 
供 了 密 钥 备份 与 解密 密 钥 的 恢复 机 制 , 即 密 钥 备份 与 恢复 系统 。 

在 PKI 中 密 钥 的 备份 和 恢复 分 为 CA 自身 根 密 钥 和 用 户 密 钥 两 种 情况 。 

CA 根 密 钥 由 于 其 是 整个 PKI 安全 运营 的 基石 ,其 安全 性 关系 到 整个 PKI 系统 的 安全 
及 正常 运行 ,因此 对 于 根 密 钥 的 产生 和 备份 要 求 很 高 。 根 密 钥 由 硬件 加 密 模块 中 加 密 机 产 
生 , 其 备份 由 加 密 机 系统 管理 员 启 动 专用 的 管理 程序 执行 备份 过 程 。 备 份 方法 是 将 根 密 钥 
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分 为 多 块 ,为 每 一 块 生 成 一 个 随机 口令 ,使 用 该 口令 加 密 该 模块 ,然后 将 加 密 后 的 密 钥 块 分 
别 写 人 不 同 的 IC 卡 中 ,每 个 口令 以 一 个 文件 形式 存放 ,每 人 保存 一 块 。 恢 复 密 钥 时 ,由 各 密 
钥 备 份 持 有 人 分 别 插入 各 自 保管 的 IC 卡 ,并 输入 相应 的 口令 才能 恢复 密 钥 。 

用 户 密 钥 的 备份 和 恢复 在 CA 签发 用 户 证 书 时 ,就 可 以 做 密 钥 备份 。 一 般 将 用 户 密 钥 
存放 在 CA 的 资料 库 中 。 进 行 恢复 时 ,根据 密 钥 对 历史 存档 进行 恢复 。 在 完成 恢复 之 后 ,将 
产生 一 个 新 的 签名 密 钥 对 来 代替 旧 的 签名 密 钥 对 。 

值得 注意 的 是 , 密 钥 备份 和 恢复 一 般 只 针对 解密 密 钥 ,签名 私 钥 是 不 做 备份 的 。 


8.2.5 PKI 应 用 接口 


PKI 需要 提供 良好 的 应 用 接口 ,使 得 其 所 能 提供 的 服务 可 以 为 各 种 不 同 的 应 用 进行 安 
全 一致, 可 信和 的 进行 交互 ,降低 管理 维护 成 本 ,提高 应 用 系统 使 用 的 透明 度 。 为 此 ,PKI 应 
轩 六 周二 二天 现下 

。 完成 证 书 的 验证 ,为 所 有 应 用 提供 一 致 .可 信 的 方式 使 用 公 钥 证 书 。 

。 以 安全 一致 的 方式 与 PKI 的 密 钥 备 份 与 恢复 系统 交互 ,为 应 用 提供 统一 的 密 钥 备 

份 与 恢复 支持 。 

。 在 所 有 应 用 系统 中 ,确保 用 户 的 签名 私 钥 始 终 在 用 户 本 人 的 控制 下 。 

。 根据 案情 策略 自动 为 用 户 更 换 密 钥 ,实现 密 钥 更 换 的 自动 .透明 与 一 致 。 

。 为 方便 用 户 访问 加 密 的 历史 数据 ,向 应 用 提供 历史 密 钥 的 安全 管理 服务 。 

。 为 所 有 应 用 访问 统一 的 公 钥 证 书库 提供 支持 。 

。 以 可 信 、 一 致 的 方式 与 证 书 撤销 系统 交互 ,向 所 有 应 用 提供 统一 的 证 书 撤销 处 理 

服务 。 

。 完成 交叉 证 书 的 验证 工作 ,为 所 有 应 用 提供 统一 模式 的 交叉 验证 支持 。 

。 支持 多 种 密 钥 存储 介质 。 

。 提供 跨 平 台 服务 。 


8.3 PKI 的 功能 


8.3.1 证 书 的 管理 


PKI 中 提供 对 证 书 的 管理 包括 : 证 书 的 申请 和 审批 证书 的 签发 和 下 载 . 证 书 的 获取 、 
证 书 和 目录 查询 .证书 撤销 等 功能 。 

1. 证 书 的 申请 和 审批 

注册 审核 机 构 RA 负责 证 书 的 申请 和 审批 功能 。 处 理 流程 是 : 用 户 直接 从 RA 处 获得 
申请 表 ,填写 相关 内 容 ,提交 给 RA, 由 RA 对 相关 内 容 进 行 审核 并 决定 是 否 审批 通过 该 证 
书 申请 的 请 求 。 通 过 后 RA 将 申请 请 求 及 审批 通过 的 信息 提交 给 相应 的 认证 中 心 CA, 由 
CA 进行 证 书 的 签发 。 其 中 证 书 的 申请 和 审批 方式 有 离线 和 在 线 两 种 ,终端 用 户 可 视 具体 
情况 选择 合适 的 方式 。 

有 些 简单 的 PKI 系统 CA 和 RA 是 一 体 的 , 即 证书 的 申请 、 审 批 和 签发 一 并 由 CA 来 完成 。 
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2. 证 书 的 签发 

RA 完成 了 证 书 的 申请 和 审批 后 ,将 证 书 请 求 提交 给 CA, 由 CA 颁发 所 申请 的 证 书 , 其 
中 由 CA 所 生成 的 证 书 格式 符合 X. 509 v3 标准 ,CA 对 证 书 进行 数字 签名 。 

证 书 的 发 放 分 为 离线 方式 和 在 线 方式 两 种 。 

离线 方式 包括 两 个 步骤 : 一 是 证 书 申请 被 批准 注册 后 ,RA 端的 应 用 程序 初始 化 申请 者 
的 信息 ,在 LDAP 目录 服务 器 中 添加 证 书 申请 人 的 有 关 信 息 ; 二 是 RA 初始 化 信息 后 传 给 
CA,CA 将 相应 的 一 次 性 口令 和 认证 码 通 过 可 靠 途 径 ( 电 子 邮件 或 保密 信封 ) 传 递 给 证 书 申 
请 者 ,证书 申请 者 在 RA 处 输入 口令 和 认证 码 并 确认 无 误 后 ,在 现场 领取 证 书 。 证书 可 存 人 
软盘 或 者 存放 于 USB Key 中 。 

在 线 方式 包括 三 个 步骤 : 一 是 RA 端 首先 从 CA 处 接收 到 该 申请 的 一 次 性 口令 和 认证 
码 , 然 后 由 RA 将 其 交 给 证 书 申请 者 ; 二 是 证 书 申请 者 通过 Internet 登录 网 上 银行 网 站 , 通 
过 浏览 器 安装 根 CA 的 证 书 ; 三 是 申请 者 在 银行 的 网 页 上 , 按 提示 填 人 从 RA 处 拿 到 的 口 
令 和 认证 码 信 息 , 就 可 以 下 载 自 己 的 证 书 了 。 

3. 证 书 的 查询 和 获取 

当 用 户 收 到 发 送 者 进行 数字 签名 的 信息 时 ,需要 验证 该 数字 签名 ,或 希望 加 密 信息 发 送 
给 其 他 用 户 ,需要 获取 其 他 用 户 的 公 钥 证 书 并 验证 有 效 性 。 且 证 书 都 存在 周期 问题 ,所 以 在 
使 用 证 书 中 所 携带 的 公 钥 之 前 ,需要 保证 当前 证 书 是 有 效 的 ; 另外 ,即便 是 在 有 效 期 ,也 可 
能 该 证 书 已 经 被 用 户 更 新 或 撤销 了 ,这 都 需要 进行 查询 和 验证 。 

PKI 体系 中 提供 了 获取 证 书 的 多 种 方式 。 

。 发 送 者 发 送 签名 信息 时 ,附加 发 送 自己 的 证 书 。 

。 单独 发 送 证 书信 息 的 通道 。 

。 可 从 访问 发 布 证 书 的 目录 服务 器 获得 。 

。 或 者 从 证 书 的 相关 实体 处 获得 。 

发 送 者 在 发 送 用 于 验证 数字 签名 的 证 书 的 同时 ,可 以 发 布 证 书 链 。 这 时 ,如 果 接 收 者 拥 
有 证 书 链 上 的 每 一 个 证 书 , 从 而 可 以 验证 发 送 者 的 证 书 。 

PKI 系统 提供 对 证 书 状态 信息 的 查询 ,以 及 对 证 书 撤销 列表 的 查询 机 制 。 可 以 通过 
LDAP 协议 ,实时 地 访问 证 书目 录 和 证 书 撤销 列表 ,提供 实时 在 线 查询 ,以 确认 证 书 的 状态 。 

4. 证 书 撤销 

证 书 在 使 用 过 程 中 可 能 会 因为 各 种 原因 而 被 废止 ,例如 , 密 钥 泄密 ,相关 从 属 信息 变更 ， 
密 钥 有 效 期 中 止 或 者 CA 本 身 的 安全 隐患 引起 废止 等 。 因 此 PKI 提供 了 专门 的 证 书 撤销 
功能 ,这 部 分 内 容 在 8. 2. 3 节 中 已 经 给 出 详细 讨论 。 


8.3.2 密 钥 的 管理 


1. 密 钥 的 产生 和 分 发 

用 户 公 / 私 钥 对 的 产生 、 验 证 及 分 发 有 两 种 方式 : 用 户 自己 产生 或 由 代理 产生 。 

用 户 自己 可 以 产生 密 钥 对 ,选取 产生 密 钥 方 法 ,负责 私 钥 的 存放 ; 用 户 应 向 CA 提交 自 
己 的 公 钥 和 身份 证 明 ,CA 对 用 户 进行 身份 认证 ,对 密 钥 的 强度 和 持 有 者 进行 审核 。 在 审核 
通过 的 情况 下 ,对 用 户 的 公 钥 产生 证 书 ; 然后 通过 面对面 、 信 件 或 电子 方式 将 证 书 安全 地 发 
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放 给 用 户 ; 最 后 CA 负责 将 证 书 发 布 到 相应 的 目录 服务 器 。 

在 某 些 情况 下 ,用 户 自己 产生 了 密 钥 对 后 到 在 线 证 书 审核 机 构 去 进行 证 书 申请 。 此 时 ， 
审核 机 构 完 成 对 用 户 的 身份 认证 后 ,以 数字 签名 的 方式 向 CA 提供 用 户 的 公 钥 及 相关 信息 ; 
CA 完成 对 公 钥 强度 检测 后 产生 证 书 ,CA 将 签名 的 证 书 返 给 审核 机 构 , 由 审核 机 构 发 放 给 
用 户 或 者 CA 通过 电子 方式 将 证 书 发 放 给 用 户 。 

密 钥 也 可 以 由 CA 为 用 户 产生 。 这 种 情况 下 ,用 户 到 CA 中 心 产 生 并 获得 密 钥 对 , 密 钥 
对 产生 之 后 ,CA 中 心 应 自动 销毁 本 地 的 用 户 私 钥 对 拷贝 ; 用 户 取 得 密 钥 对 后 ,保存 好 自己 
的 私 钥 ,将 公 钥 送 至 CA ,再 按 上 述 方式 申请 证 书 。 

2. 密 钥 的 备份 和 恢复 

PKI 提供 了 密 钥 备 份 与 解密 密 钥 的 恢复 机 制 , 即 密 钥 备份 与 恢复 系统 。 密 钥 的 备份 和 
恢复 分 为 CA 自身 根 密 钥 和 用 户 密 钥 两 种 情况 。 

3. 密 钥 的 自动 更 新 

一 个 证 书 的 有 效 期 是 有 限 的 ,这 就 需要 定期 更 新 证 书 。 但 对 PKI 用 户 来 说 ,手工 完成 
密 钥 更 新 几乎 是 不 可 行 的 ,因为 用 户 自己 经 常会 忽视 证 书 已 过 期 ,只 有 使 用 失败 时 才能 发 
觉 。 因 此 ,PKI 系统 提供 密 钥 的 自动 更 新 功能 。 也 就 是 说 ,无 论 用 户 的 证 书 用 于 何 种 目的 ， 
在 认证 时 ,都 会 在 线 自动 检查 有 效 期 , 当 失 效 日 期 到 来 之 前 的 某 个 时 间 间 隔 内 自动 启动 更 新 
程序 ,生成 一 个 新 的 证 书 来 代替 旧 证 书 , 新 旧 证 书 的 序列 号 不 一 样 。 

密 钥 更 新 对 于 加 密 密 钥 对 和 签名 密 钥 对 ,由 于 其 安全 性 要 求 的 不 一 样 ,其 自动 过 程 也 不 
完全 一 样 。 
加 密 密 钥 对 和 证 书 的 更 新 ,PKI 系统 采取 对 管理 员 和 用 户 透明 的 方式 进行 ,提供 全 面 的 
密 钥 \ 证 书 及 生命 周期 的 管理 。 系 统 对 快要 过 期 的 证 书 进行 自动 更 新 ,不 需要 管理 员 和 用 户 
干预 。 当 加 密 密 钥 对 接近 过 期 时 ,系统 将 生成 新 的 加 密 密 钥 对 。 这 个 过 程 基本 上 跟 证 书 发 
放 过 程 相同 , 即 CA 使 用 LDAP 协议 将 新 的 加 密 证 书 发 送 给 目录 服务 器 ,以 供用 户 下 载 。 

签名 密 钥 对 的 更 新 是 当 系 统 检 查证 书 是 否 过 期 时 ,对 接近 过 期 的 证 书 , 将 创建 新 的 签名 
密 钥 对 。 利 用 当前 证 书 建立 与 认证 中 心 之 间 的 连接 ,认证 中 心 将 创建 新 的 认证 证 书 , 并 将 证 
书 发 回 RA ,在 归档 的 同时 ,供用 户 在 线 下 载 。 

4. 密 钥 历史 档案 管理 

由 于 密 钥 的 不 断 更 新 ,经 过 一 定 的 时 间 段 ,每 个 用 户 都 会 形成 多 个 “ 旧 ” 证 书 和 至 少 一 个 
“当前 ”证 书 。 这 一 系列 的 旧 证 书 和 相应 的 私 钥 就 构成 了 用 户 密 钥 和 证 书 的 历史 档案 ,简称 
密 钥 历史 档案 。 密 钥 历史 档案 也 是 PKI 系统 的 一 个 必 不 可 少 的 功能 。 例 如 , 某 用 户 几 年 前 
加 密 的 数据 或 其 他 人 用 他 的 公 钥 为 其 加 密 的 数据 ,无 法 用 现在 的 私 钥 解密 ,那么 就 需要 从 他 
的 密 钥 历史 档案 中 找到 正确 的 解密 密 钥 来 解密 数据 。 与 此 类 似 , 有 时 也 需要 从 密 钥 历史 档 
案 中 找到 合适 的 证 书 验证 以 前 的 签名 。 

类 似 于 密 钥 更 新 ,管理 密 钥 历史 档案 也 应 当 由 PKI 自动 完成 。 在 任何 系统 中 ,需要 用 
户 自己 查找 正确 的 私 钥 或 用 每 个 密 钥 去 尝试 解密 数据 ,这 对 用 户 来 说 是 无 法 容忍 的 。 


8.3.3 交叉 认证 
每 个 CA 只 能 覆盖 一 定 的 作用 范围 ,这 个 范围 成 为 CA 的 域 .例如 ,不 同 的 企业 有 各 自 
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的 CA, 它们 颁发 的 证 书 只 能 在 企业 内 有 效 , 当 属于 不 同 CA 域 的 用 户 需 要 进行 安全 通信 时 ， 
则 需要 提供 一 种 互相 认可 对 方 证 书 的 机 制 , 在 原本 没有 联系 的 CA 之 间 建 立信 任 关系 ,这 就 
是 交叉 认证 (Cross-Certification) 。 

交叉 认证 机 制 保证 一 个 PKI 团体 的 用 户 可 以 验证 男 一 个 PKI 团体 的 用 户 证 书 。 它 是 
将 这 些 以 前 无 关 的 CA 连接 在 一 起 的 机 制 , 从 而 使 得 在 它们 各 自主 体 群 之 间 能 够 进行 安全 
通信 。 它 是 第 三 方 信任 的 扩展 , 即 一 个 CA 的 用 户 可 以 信任 其 他 所 有 自己 CA 交叉 认证 的 
CA 用 户 。 其 实质 是 为 了 实现 大 范围 内 各 个 独立 PKI 域 的 互 连 互通 、 互 操作 而 采用 的 一 种 
信任 模型 。 

交叉 认证 从 CA 所 在 域 来 分 有 两 种 形式 : 域内 交叉 认证 和 域 间 交 叉 认 证 。 域 内 交叉 认 
证 即 进 行 交 叉 认 证 的 两 个 CA 属于 相同 的 域 ,例如 ,在 一 个 组 织 的 CA 层次 结构 中 , 某 一 层 
的 一 个 CA 认证 它 下 面 一 层 的 一 个 CA, 这 就 属于 域内 交叉 认证 。 域 间 交 叉 认 证 即 两 个 进行 
交叉 认证 的 CA 属于 不 同 的 域 。 完 全 独立 的 两 个 组 织 间 的 CA 之 间 进 行 交 又 认证 就 是 域 间 
交叉 认证 。 

交叉 认证 既 可 以 是 单 向 的 也 可 以 是 双向 的 。 在 一 个 域内 各 层次 CA 结构 体系 中 的 交叉 
认证 ,只 允许 上 一 级 的 CA 向 下 一 级 的 CA 签发 证 书 , 而 不 能 相反 , 即 只 能 单 向 签发 证 书 。 
而 在 网 状 的 交叉 认证 中 ,两 个 相互 交叉 认证 通过 互相 给 对 方 签 发 证 书 , 即 双向 的 交叉 认证 。 

交叉 认证 有 两 个 操作 : 首先 在 两 个 域 之 间 建 立信 任 关 系 , 这 通常 是 一 次 性 操作 。 在 双 
方 交 叉 认 证 的 情况 下 ,两 个 CA 安全 地 交换 他 们 的 验证 密 钥 。 这 些 密 钥 用 于 验证 他 们 在 证 
书 上 的 签名 。 为 了 完成 这 个 操作 ,每 个 CA 签发 一 张 包含 自己 公 钥 的 证 书 , 该 证 书 称 为 交叉 
证 书 。 后 续 操作 由 客户 端 软件 完成 ,这 个 操作 包含 了 验证 已 由 交叉 认证 的 CA 签发 的 用 户 
证 书 的 有 效 性 ,这 个 操作 需要 经 常 执 行 。 该 操作 被 称 为 跟踪 信任 链 , 链 指 的 是 交叉 证 书 认证 
链表 , 沿 着 这 个 链表 可 以 跟踪 所 有 验证 用 户 证 书 的 CA 密 钥 。 


8.3.4 安全 服务 


PKI 体系 提供 的 安全 服务 功能 ,包括 身份 认证 、 完 整 性 .机密 性 、 不 可 否认 性 、 时 间 惟 和 
数据 的 公正 性 服务 。 

1. 身份 认证 

身份 认证 指 的 是 用 户 提 供 他 是 谁 的 证 明 。 认 证 的 实质 就 是 证 实 被 认证 对 象 是 否 属实 和 
是 否 有 效 的 过 程 ,常常 被 用 于 通信 双方 相互 确认 身份 ,以 保证 通信 的 安全 。 其 基本 思想 是 通 
过 验证 被 认证 对 象 的 某 个 专 有 属性 .达到 确认 被 认证 对 象 是 否 真实 有效 的 目的 。PKI 的 认 
证 服务 采用 数字 签名 这 一 密码 技术 。 

数字 签名 技术 是 基于 公 钥 密码 学 的 强 认 证 技术 ,其 效果 和 现实 中 的 手写 签名 类 似 , 并 有 具 
有 法 律 效 应 。 在 网 络 应 用 中 ,每 个 参与 交易 的 实体 都 拥有 一 对 签名 的 密 钥 ,签名 者 自己 知道 
签名 私 钥 ,并 保证 其 安全 。 公 开 的 是 进行 验证 签名 的 公 钥 。 因 此 只 要 私 钥 安全 ,就 可 以 有 效 
地 对 产生 该 签名 的 声称 者 进行 身份 验证 ,保证 交互 双方 的 身份 真实 性 。 同 时 公 钥 得 到 PKI 
中 的 CA 的 认可 ,由 CA 为 其 签发 一 个 将 用 户 身份 和 公 钥 进行 绑 定 的 网 上 身份 证 一 一 数字 
证 书 , 来 保证 公 钥 的 可 靠 性 ,以 及 它 与 合法 用 户 的 对 应 关系 。 这 样 ,在 各 种 应 用 中 ,可 以 有 效 
地 实现 身份 认证 。 

作为 认证 体系 的 PKI, 完 成 身份 认证 主要 体现 在 以 下 所 述 的 三 个 步骤 和 层次 。 
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(1) 交易 双方 建立 连接 后 ,首先 一 方 验证 另 一 方 所 持 证 书 的 有 效 性 ,通过 访问 证 书目 
录 , 查 询 各 自 的 证 书 撤销 列表 ,以 确认 各 自 的 证 书 都 是 当前 使 用 的 有 效 证 书 。 这 一 查询 就 可 
以 对 双方 的 身份 进行 确认 ,因为 CA 为 每 个 实体 签发 证 书 前 就 对 其 身份 做 了 必要 信用 度 的 
审核 。 

(2) 交易 一 方 验 证 另 一 方 所 持 证 书 是 否 为 共同 认可 的 可 信 CA 签发 , 即 CA 的 有 效 性 。 
由 于 在 系统 的 初始 化 时 各 交易 实体 已 获得 可 信 CA 的 公 钥 ,而 且 每 个 实体 所 持 证 书 中 都 有 
该 CA 所 做 的 签名 。 因 此 ,如 果 所 要 验证 的 证 书 是 由 该 CA 签发 ,那么 验证 一 方 就 可 以 用 所 
拥有 的 CA 公 钥 对 CA 所 做 的 签名 进行 有 效 的 验证 。 这 样 保证 了 CA 的 可 靠 性 。 

(3) 完成 了 以 上 的 验证 ,证 书 的 有 效 性 得 到 了 确认 。 在 真正 处 理 业务 前 ,交易 中 的 被 验 
证 一 方 还 要 对 一 些 可 以 验证 身份 的 信息 ,如 自己 的 标识 符 和 口令 用 所 拥有 的 签名 私 钥 进行 
签名 ,然后 传 给 该 交易 中 的 验证 一 方 。 这 时 验证 方 就 可 以 直接 用 被 验证 方 的 证 书 中 的 公 钥 
对 这 次 所 做 的 签名 进行 验证 。 

2. 数据 完整 性 

数据 的 完整 性 就 是 防止 对 信息 的 非法 算 改 ,确认 通信 双方 接收 到 的 数据 和 从 数据 源 发 
出 的 数据 完全 一 致 。 

正如 前 面 章节 中 所 讨论 的 ,这 可 以 通过 采用 安全 的 散 列 函数 和 数字 签名 技术 实现 数据 
完整 性 保护 ,特别 是 双重 数字 签名 可 以 用 于 保证 多 方 通信 时 数据 的 完整 性 。 用 户 在 发 送信 
息 之 前 对 消息 进行 计算 散 列 值 , 并 对 散 列 值 进行 数字 签名 。 收 到 消息 者 可 以 对 消息 的 签名 
进行 验证 ,如 果 有 任何 细微 的 算 改 ,验证 者 都 可 以 知晓 。 对 于 其 中 所 用 到 的 签名 私 钥 和 验证 
所 用 的 公 钥 ,PKI 提供 的 保护 和 身份 认证 中 讨论 的 一 样 。 

3. 数据 机 密 性 

数据 的 机 密 性 就 是 实现 对 所 保护 数据 的 加 /解密 ,从 而 保证 数据 在 传输 和 存储 中 , 非 授 
权 的 人 无 法 获取 真实 的 信息 。 所 有 的 机 密 数 据 都 是 由 加 密 技 术 实 现 的 。 而 PKI 的 机 密 性 
服务 是 一 个 框架 结构 ,通过 这 个 功能 模块 可 以 实现 交易 中 的 算法 协商 和 密 钥 交换 ,而 且 对 参 
与 通信 的 实体 来 说 这 些 过 程 是 透明 的 。 

PKI 中 提供 的 公 钥 密码 服务 不 仅 可 以 完成 数字 签名 ,而 且 可 以 实现 加 密 / 解 密 操作 。 用 
于 不 同 用 途 的 公 钥 通常 是 需要 严格 分 离 的 , 即 用 于 加 密 的 公 钥 不 能 同时 用 于 对 数字 签名 的 
验证 。CA 在 颁发 证 书 的 时 候 会 给 出 严格 的 用 途 说 明 。 

当 需 要 提供 对 信息 的 机 密 性 保护 时 ,发 送 者 可 以 使 用 数字 信封 的 方式 首先 使 用 对 称 会 
话 密 钥 对 原始 数据 进行 加 密 , 然 后 使 用 公 钥 对 较 短 的 对 称 会 话 密 钥 加 密 。 发 送 者 获取 接收 
者 的 公 钥 及 对 其 有 效 性 的 验证 是 依赖 于 对 CA 的 信任 。 

4. 不 可 否认 性 

不 可 否认 用 于 从 技术 上 保证 实体 对 他 们 行为 的 诚实 , 即 参 与 交互 的 双方 都 不 能 事后 否 
认 自己 曾经 处 理 过 的 每 次 操作 。 这 在 电子 商务 、 电 子 政务 等 应 用 中 非常 重要 ,主要 包括 数据 
来 源 的 不 可 否认 性 ,发送 方 的 不 可 否认 性 ,以 及 接收 方 在 接收 后 的 不 可 否认 性 。PKI 所 提供 
的 不 可 否认 功能 ,是 基于 数字 签名 以 及 其 所 提供 的 时 间 截 服务 功能 的 。 

在 进行 数字 签名 时 ,签名 私 钥 只 能 被 签名 者 自己 掌握 ,系统 中 的 其 他 参与 实体 无 法 得 到 
该 密 钥 ,这样 只 有 签名 者 自己 能 做 出 相应 的 签名 ,其 他 实体 是 无 法 做 出 这 样 的 签名 的 。 这 
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样 ,签名 者 从 技术 上 就 不 能 否认 自己 做 过 该 签名 。 为 了 保证 签名 私 钥 的 安全 ,一 般 要 求 这 种 
密 钥 只 能 在 防 算 改 的 硬件 令 牌 上 产生 ,并 且 永 远 不 能 离开 令 牌 ,以 保证 签名 私 钥 的 安全 。 青 
利用 PKI 提供 的 时 间 戳 功能 ,安全 时 间 戳 服务 用 来 证 明 某 个 特别 事件 发 生 在 某 个 特定 的 时 
间或 某 段 特别 数据 在 某 个 日 期 已 存在 ,防止 消息 的 重 放 。 这 样 , 签 名 者 对 自己 所 做 的 签名 将 
无 法 进行 否认 。 

5. 时 间 截 

在 电子 商务 .电子 政务 应 用 中 ,信息 交换 的 时 间 信 息 非 常 重要 ,这 是 保证 文件 的 有 效 性 
和 防止 伪造 和 算 改 的 关键 性 内 容 , 或 者 提供 不 可 否认 服务 。 支 持 这 些 服务 的 一 个 关键 因素 
就 是 在 PKI 中 使 用 安全 时 间 戳 (就 是 说 时 间 源 是 可 信 的 ,时 间 值 必须 被 安全 地 传送 ) 。 最 重 
要 的 不 是 时 间 本 身 的 精确 性 ,而 是 相关 时 间 、 日 期 的 安全 性 。PKI 中 的 时 间 戳 机构 (Time 
Stamp Authority,TSA) 可 以 提供 时 间 戳 服务 ,给 电子 文档 加 上 权威 的 时 间 赁 证。 时 间 截 产 
生 的 过 程 是 : 用 户 首先 计算 需要 加 时 间 惟 的 消息 的 散 列 值 ,然后 将 该 散 列 值 发 送 给 TSA， 
TSA 加 上 收 到 该 散 列 值 的 权威 时 间 ,再 进行 数字 签名 ,然后 返回 给 用 户 。 一 般 由 用 户 自 己 
保持 该 时 间 凭 证。 在 发 生 纠纷 时 ,用 户 可 以 出 示 时 间 戳 ,由 第 三 方 进行 仲裁 。 

PKI 中 必须 存在 用 户 可 信任 的 权威 时 间 源 。 事 实 上 ,权威 时 间 源 提供 的 时 间 并 不 需要 
正确 ,仅仅 需要 用 户 作为 一 个 “参照 ?时 间 完 成 基于 PKI 的 事务 处 理 。 例 如 ,事件 B 发 生 在 
事件 A 的 后 面 。 毫 无 疑问 ,最 好 使 用 世界 上 官方 时 间 源 提供 的 时 间 。 虽 然 安 全 时 间 截 是 
PKI 支撑 的 服务 ,但 它 依然 可 以 在 不 依赖 PKI 的 情况 下 实现 安全 时 间 戳 服务 。 一 个 PKI 体 
系 中 是 否 需要 实现 时 间 戳 服务 ,完全 依照 应 用 的 需求 来 决定 。 


8.4 信任 模型 


所 谓 信任 模型 就 是 一 个 建立 和 管理 信任 关系 的 框架 。 在 PKI 中 , 当 两 个 认证 机 构 中 的 
一 方 给 对 方 的 公 钥 或 双方 给 对 方 的 公 钥 颁发 证 书 时 ,两 者 间 就 建立 了 这 种 信任 关系 。 信 任 
模型 描述 了 如 何 建立 不 同 认 证 机 构 之 间 的 认证 路 径 以 及 构建 和 寻找 信任 路 径 的 规则 。 

PKI 的 信任 模型 主要 阐述 以 下 一 些 问题 。 

。 一 个 实体 能 够 信任 的 证 书 是 怎样 被 确定 的 ? 

。 这 种 信任 是 怎样 被 建立 的 ? 

。 在 一 定 的 环境 下 ,这 种 信任 如 何 被 控制 ? 

目前 较 流行 的 PKI 信任 模型 主要 有 4 种 : 认证 机 构 的 严格 层次 结构 模型 .分 布 式 信任 
结构 模型 、Web 模型 和 以 用 户 为 中 心 的 信任 模型 。 


8.4.1 认证 机 构 的 严格 层次 结构 


认证 机 构 的 严格 层次 结构 可 以 描绘 为 一 棵 倒转 的 树 , 根 在 项 上 , 叶 在 最 下 面 ,如 图 8. 4 
所 示 。 在 这 棵 倒转 的 树 上 , 根 代表 一 个 对 整个 PKI 域 内 的 所 有 实体 都 有 特别 意义 的 CA, 通 
常 被 叫做 根 CA, 作 为 信任 的 根 或 “信任 锚 ”, 也 是 信任 的 起 点 。 在 根 CA 的 下 面 是 零 层 或 多 
层 中 间 CA( 也 被 称 作 子 CA ,它们 是 从 属于 根 CA) ,这些 CA 由 中 间 结 点 代表 ,从 中 间 结 点 
再 伸 出 分 支 。 与 非 CA 的 PEI 实 体 相 对 应 的 叶 结 点 通常 被 称 作 终端 实体 或 终端 用 户 。 
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图 8.4 严格 层次 结构 的 信任 模型 

在 这 个 机 构 中 , 根 CA 直接 认证 连 在 它 下 面 的 CA. 中 间 CA 要 么 认证 直接 连接 在 其 下 
的 CA 或 终端 实体 。 每 个 实体 都 必须 拥有 根 CA 的 公 钥 。 在 这 个 模型 中 , 根 公 钥 的 安装 是 
随后 进行 的 所 有 通信 进行 证 书 处 理 的 基础 。 因 此 , 它 必 须 通 过 一 种 安全 的 方式 完成 。 

在 多 层 的 严格 层次 结构 中 ,终端 实体 直 由 被 其 上 层 CA 颁发 证 书 , 但 其 信任 锚 是 另 一 
不 同 的 CA( 根 CA)。 在 没有 子 CA 的 浅 层 次 结构 中 ,终端 实体 的 根 和 证 书 颁发 者 是 相同 
的 。 这 种 层次 结构 被 称 为 可 信和 颁发 者 层次 结构 。 

根 CA 具有 一 个 自 签 名 的 证 书 , 依 次 对 它 下 面 的 CA 进行 签名 ; 层次 结构 中 叶子 结 点 上 
的 CA 用 于 对 终端 实体 进行 签名 ; 对 于 实体 而 言 , 它 信任 根 CA, 可 以 i :心中 间 的 CA， 
但 它 的 证 书 是 由 底层 的 CA 签发 的 。 要 维护 这 棵 树 ,在 每 个 结 点 CA 上 需要 保存 两 种 证 书 。 

(1) 向 前 证 书 (Forward Certificates): 其 他 CA 发 给 它 的 证 书 。 

(2) 向 后 证 书 (Reverse Certificates) : 它 发 给 其 他 CA 的 证 书 。 

假设 实体 A 收 到 B 的 一 个 证 书 ,B 的 证 书 中 含有 签发 该 证 书 的 CA 的 信息 , 沿 着 层次 
树 往 上 找 , 可 以 构成 一 条 证 书 链 ,直到 根 证 书 。 验 证 过 程 正 好 沿 相 反 的 方向 ,从 根 证 书 开始 ， 
依次 往 下 验证 每 一 个 证 书 中 的 签名 ,一 直到 验证 B 的 证 书 中 的 签名 。 如 果 所 有 的 签名 验证 
都 通过 , 则 A 可 以 确定 所 有 的 证 书 都 是 正确 的 ,如 果 他 信任 根 CA, 则 他 可 以 相信 B 的 证 书 
和 公 和 钥 。 

例如 终端 实体 A 持 有 可 信 根 CA 的 公 钥 ,他 需要 去 验证 另 一 个 终端 实体 了 B 的 证 书 , 而 B 
的 证 书 是 由 CA2 签发 的 ,而 CA2 的 证 书 是 由 CA1 签发 的 ,CA1 的 证 书 是 由 根 CA 签发 的 。 
则 A 首先 使 用 根 CA 的 公 钥 验证 CA1 的 证 书 , 验 证 通过 后 ,使 用 所 提取 CA1 的 公 钥 来 验证 
CA2 的 公 钥 ,类似 的 可 以 得 到 CA2 的 公 钥 ,最 后 A 使 用 CA2 的 公 钥 验证 B 的 证 书 , 从 而 获 
取 B 的 公 钥 信息 。 至 此 .A 可 以 使 用 B 的 公 钥 进行 加 密 或 者 验证 数字 签名 。 


8.4.2 分 布 式 信任 结构 


与 严格 层次 结构 相反 ,分 布 式 信任 结构 把 信任 分 散 到 两 个 或 更 多 个 CA 上 。 更 准确 地 
说 ,A 把 CA1 的 公 钥 作为 他 的 信任 锚 , 而 B 可 以 把 CA2 的 公 钥 作为 他 的 信任 锚 。 因 为 这 些 
CA 的 密 钥 都 作为 信任 锚 , 因 此 相应 的 CA 必须 是 整个 PKI 群体 的 一 个 子 集 所 构成 的 严格 
层次 结构 的 根 CA(CA1 是 包括 A 在 内 的 层次 结构 的 根 ,CA2 是 包括 B 在 内 的 层次 结构 
的 根 ) 。 

如 果 这 些 严格 层次 结构 都 是 可 信和 颁发 者 层次 结构 ,那么 该 总 体 结构 被 称 作 完全 同位 体 
结构 (Fully Peered Architecture) ,因为 所 有 的 CA 实际 上 都 是 相互 独立 的 同位 体 ( 在 这 个 结 
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构 中 没有 子 CA)。 另 一 方面 , 如 果 所 有 的 严格 层次 结构 都 是 多 层 结构 (Multi-Level 
Hierarchy) ,那么 最 终 的 结构 就 被 叫做 满 树 结构 (Fully Treed Architecture) (注意 , 根 CA 之 间 
是 同位 体 , 但 是 每 个 根 又 是 一 个 或 多 个 子 CA 的 上 级 )。 混 合 结构 (Hybrid Treed Architecture) 
也 是 可 能 的 (具有 若干 个 可 信和 颁发 者 层次 结构 和 若干 个 多 层 树 型 结构 )。 一 般 说 来 ,完全 同 
位 体 结构 部 署 在 某 个 组 织 内 部 ,而 满 树 结构 和 混合 结构 则 是 在 原来 相互 独立 的 PKI 系统 之 
间 进 行 互联 的 结果 。 在 不 同 的 同位 体 根 CA 之 间 的 互 连 过 程 则 被 称 为 交叉 认证 。 

交叉 认证 是 一 种 把 以 前 无 关 的 CA 连接 在 一 起 的 机 制 , 从 而 使 得 它们 各 自 的 实体 之 间 
的 安全 通信 成 为 可 能 。 交 叉 认 证 可 以 是 单 向 的 ,也 可 以 是 双向 的 。 如 果 A 被 CA1 认证 ,并 
拥有 CAI1 的 公 钥 证 书 ; B 被 CA2 认证 ,拥有 CA2 的 公 钥 证 书 。 如 果 CA1 和 CA2 进行 了 双 
向 的 交叉 认证 后 , 则 A 可 以 使 用 其 所 信任 的 CA1 的 证 书 去 验证 CA2 的 证 书 , 验 证 通过 后 ， 
再 使 用 CA2 的 证 书 验证 B 的 证 书 。 同 样 ,B 也 可 以 类 似 的 验证 A 的 证 书 。 


8.4.3 Web 模型 


Web 模型 是 在 环球 网 (World Wide Web) 上 诞生 的 ,依赖 于 流行 的 浏览 器 进行 构建 。 
在 这 种 模型 中 ,许多 CA 的 公 钥 被 预 装 在 标准 的 浏览 器 上 。 这 些 公 钥 确定 了 一 组 浏览 器 用 
户 最 初 信任 的 CA。 尽管 这 组 根 密 钥 可 以 被 用 户 修改 ,然而 几乎 没有 普通 用 户 对 于 PKI 和 
安全 问题 能 精通 到 可 以 进行 这 种 修改 的 程度 。 

初 看 之 下 ,这 种 模型 似乎 与 分 布 式 信任 结构 模型 相似 ,但 从 根本 上 讲 , 它 更 类 似 于 认证 
机 构 的 严格 层次 结构 模型 。Web 模型 通过 与 相关 域 进 行 互 连 而 不 是 扩大 现 有 的 主体 群体 ， 
来 使 A 成 为 在 浏览 器 中 所 给 出 的 所 有 域 的 依托 方 。 实 际 上 ,每 个 浏览 器 厂商 都 有 自己 的 
根 ,并 且 由 厂商 认证 内 入 到 浏览 器 中 的 CA。 唯 一 真正 的 不 同 是 根 CA 并 不 被 浏览 器 厂商 的 
根 所 认证 ,而 是 物理 地 舱 入 软件 来 发 布 ,作为 对 CA 名 字 和 它 的 密 钥 的 安全 绑 定 。 实 质 上 ， 
这 是 一 种 有 隐 含 根 的 严格 层次 结构 (更 准确 地 说 浏览 器 厂商 是 实质 上 的 根 CA ,而 层次 结构 
中 下 面 的 第 一 层 则 是 所 有 的 已 嵌入 的 CA 的 密 钥 ) 。 

Web 模型 在 方便 性 和 简单 互 操作 性 方面 有 明显 的 优势 ,但 是 也 存在 许多 安全 隐患 。 例 
如 ,因为 浏览 器 的 用 户 自动 地 信任 预 安装 的 所 有 公 钥 ,所 以 如 果 这 些 根 CA 中 有 一 个 是 有 问 
题 的 ,安全 性 将 被 完全 破坏 。A 将 相信 任何 声称 是 B 的 证 书 都 是 B 的 合法 证 书 ,即使 它 实 
际 上 只 是 由 可 以 将 公 钥 嵌入 浏览 器 中 的 CA 签署 的 挂 在 BB 名 下 的 C 的 公 钥 。 这 样 ,A 就 可 
能 无 意 间 向 C 透露 机 密 或 接受 C 伪造 的 数字 签名 。 这 种 假冒 能 够 成 功 的 原因 是 : A 一 般 不 
知道 收 到 的 证 书 是 由 哪 一 个 根 密 钥 验证 的 。 在 租 入 到 其 浏览 器 中 的 多 个 根 密 钥 中 ,人 A 可 能 
只 认可 所 给 出 的 一 些 CA ,但 并 不 了 解 其 他 CA。 在 Web 模型 中 ,A 的 软件 平等 而 无 任何 疑 
问 地 信任 这 些 CA ,并 接受 它们 中 任何 一 个 签署 的 证 书 。 

另外 一 个 潜在 的 安全 隐患 是 没有 实用 的 机 制 来 撤销 肉 入 到 浏览 器 中 的 根 密 钥 。 如 果 发 
现 一 个 根 密 钥 是 有 问题 的 或 者 与 根 的 公 钥 相应 的 私 钥 被 泄密 了 ,要 使 全 世界 数 百 万 个 浏览 
器 都 自动 地 撤销 该 密 钥 的 使 用 是 不 可 能 的 ,这 是 因为 无 法 保证 这 个 撤销 的 信息 能 传达 到 所 
有 的 浏览 器 ,而 且 即 便 通知 了 浏览 器 ,浏览 器 也 没有 处 理 这 个 撤销 消息 的 功能 。 因 此 ,从 浏 
览 器 中 去 除 坏 密 钥 需要 全 世界 的 每 个 用 户 都 同时 采取 明确 的 动作 ; 否则 ,一 些 用 户 将 是 仍 
处 于 危险 之 中 。 但 是 这 样 一 个 全 世界 范围 内 的 同时 动作 是 不 可 能 实现 的 。 

最 后 ,该 模型 还 缺少 在 CA 和 用 户 之 间 建 立 合法 协议 的 有 效 方法 ,该 协议 的 目的 是 使 
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CA 和 用 户 共 同 承担 责任 。 因 为 ,浏览 器 可 以 自由 地 从 不 同 站 点 下 载 ,也 可 以 预 装 在 操作 系 
统 中 ; CA 不 知道 也 无 法 确定 它 的 用 户 是 谁 ,并 且 一 般 用 户 对 PKI 也 缺乏 足够 的 了 解 ,因此 
会 主动 与 CA 直接 接触 。 这 样 ,所 有 的 责任 最 终 或 许 都 会 由 用 户 承 担 。 


8.4.4 以 用 户 为 中 心 的 信任 模型 


在 一 般 被 称 作 以 用 户 为 中 心 的 信任 模型 中 .每 个 用 户 都 对 决定 信赖 哪个 证 书 和 拒绝 哪 
个 证 书 直接 完全 地 负责 。 在 这 个 信任 模型 中 ,没有 专门 的 CA 中 心 , 每 个 用 户 可 以 向 他 所 信 
任 的 人 签发 公 钥 证 书 ,通过 这 样 的 方式 建立 一 个 信任 网 。 

PGP(Pretty Good Privacy) 使 用 的 就 是 以 用 户 为 中 心 的 信任 模型 。 在 PGP 中 ,一 个 用 
户 通 过 担当 CA 的 角色 并 使 其 公 钥 被 其 他 人 所 认证 来 建立 信任 网 。 例 如 , 当 A 收 到 一 个 据 
称 属于 B 的 证 书 时 ,她 发 现 这 个 证 书 是 由 她 不 认识 的 C 签署 的 ,而 C 的 证 书 是 由 她 认识 并 
且 信 任 的 D 签署 的 。 那 么 ,A 可 以 先 验 证 DD 的 证 书 ,然后 再 验证 B 的 证 书 , 从 而 决定 信任 B 
的 密 钥 ,A 也 可 以 决定 不 信任 Bob 的 密 钥 。 

因为 要 依赖 于 用 户 自 身 的 行为 和 决策 能 力 , 因 此 以 用 户 为 中 心 的 模型 在 技术 水 平 较 高 
和 利害 关系 高 度 一 致 的 群体 中 是 可 行 的 ,但 是 在 一 般 的 群体 (其 用 户 有 极 少 或 者 没有 安全 及 
PKI 的 概念 ) 中 是 不 现实 的 。 这 种 模型 一 般 不 适合 用 在 贸易 、 金 融 或 政府 环境 中 ,因为 在 这 
些 环境 下 ,通常 希望 或 需要 对 用 户 的 信任 实行 某 种 控制 ,显然 这 样 的 信任 策略 在 以 用 户 为 中 
心 的 模型 中 是 不 可 能 实现 的 。 


8.5 PKI 的 相关 标准 


从 整个 PKI 体系 建立 与 发 展 的 历程 来 看 ,与 PKI 相关 的 标准 主要 包括 以 下 一 些 内 容 。 
8.5.1 X.209 ASN.1 基本 编码 规则 


ASN.1 是 描述 在 网 络 上 传输 信息 格式 的 标准 方法 。 它 有 两 部 分 : 第 一 部 分 (ISO 
8824/ITU X. 208) 描 述 信息 内 的 数据 .数据 类 型 及 序列 格式 ,也 就 是 数据 的 语法 ; 第 二 部 分 
(ISO 8825/ITU X. 209) 描 述 如 何 将 各 部 分 数据 组 成 消息 ,也 就 是 数据 的 基本 编码 规则 。 

ASN. 1 原来 是 作为 X. 409 的 一 部 分 而 开发 的 ,后 来 才 独 立地 成 为 一 个 标准 。 这 两 个 协 
议 除了 在 PKI 体系 中 被 应 用 外 ,还 被 广泛 应 用 于 通信 和 计算 机 的 其 他 领域 。 


8.5.2 X.5S00 


人 们 经 常 需要 查询 网 络 上 的 对 象 信息 ,如 和 人、 组 织 . 国 家 、 计 算 机 ,甚至 可 以 是 计算 机 中 
的 某 个 网 络 通信 进程 。 虽 然 这 些 对 象 在 不 断 变化 着 ,相对 于 查询 的 频率 而 言 ,对 象 信息 稳定 
时 间 是 较 长 的 。 而 且 在 查询 中 ,人 们 希望 根据 对 方 的 名 字 , 而 不 是 计算 机 的 地 址 ,而 且 地 址 
也 比 名 字 更 容易 变化 ,所 以 经 常 要 做 “名 字 - 地 址 ”上 映射。 基于 这 种 需求 ,人 们 开发 了 目录 服 
务 网 络 应 用 。 目 录 中 按 一 定 的 格式 记录 了 现实 世界 中 大 量 对 象 的 信息 ,供用 户 ( 人 、 计 算 机 
应 用 程序 等 ) 做 各 种 频繁 查询 和 相对 少量 的 修改 。 实 现 目录 服务 的 方式 有 多 种 ,但 目前 趋 于 
统一 到 ITU-X. 500 系列 建议 标准 。 
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X. 500 是 一 套 已 经 被 国际 标准 化 组 织 (ISO) 接 受 的 目录 服务 系统 标准 , 它 包 括 了 一 系 
列 完 整 的 目录 数据 服务 ,定义 了 一 个 机 构 如 何在 全 局 范围 内 共享 其 名 字 和 与 之 相关 的 对 象 。 
X. 500 系列 建议 组 成 包括 : X. 500 是 目录 服务 的 概要 介绍 ,X. 501 定义 了 目录 服务 的 模型 ， 
X. 511 对 目录 的 各 种 抽象 服务 作 了 定义 ,X. 518 描述 分 布 操作 的 实现 过 程 ,X. 519 是 传输 协 
议 ,X.520 和 X.521 定义 了 常用 对 象 类 和 属性 ,X. 509 提出 了 一 种 认证 的 框架 ,X. 525 规定 
了 备份 。 

X. 500 是 层次 性 的 ,其 中 的 管理 域 ( 机 构 、 分 支部 门 和 工作 组 ) 可 以 提供 这 些 域内 的 用 
户 和 资源 信息 。 它 定义 一 个 机 构 如 何在 一 个 企业 的 全 局 范围 内 共享 名 字 和 与 它们 相关 的 对 
象 。X. 500 规定 总 体 命 名 方式 ,全球 统一 的 名 字 空 间 。X. 500 目录 服务 可 以 向 需要 访问 网 
络 任何 资源 的 电子 文件 系统 和 应 用 ,或 需要 知道 网 络 上 的 实体 名 字 和 地 点 的 管理 系统 提供 
信息 。 一 个 完整 的 X. 500 系统 称 为 一 个 目录 。 这 个 目录 是 一 个 数据 库 , 称 为 目录 信息 数据 
库 (DIB)。 在 数据 库 中 的 实体 被 称 为 对 象 。 对 象 包括 描述 对 这 个 对 象 的 描述 信息 ,分 用 户 
对 象 和 资源 对 象 ,如 打印 机 对 象 。X. 500 系列 建议 的 目录 服务 是 分 布 式 的 。 每 个 目录 的 用 
户 由 一 个 目录 用 户 代 理 (Directory User Agent,DUA) 代 表 , 它 就 是 用 户 用 于 访问 目录 服务 
的 进程 。 在 用 户 看 来 ,整个 目录 在 逻辑 上 是 统一 的 整体 ,但 实际 上 目录 信息 可 以 分 布 在 不 同 
组 织 管理 的 计算 机 上 。 这 些 计算 机 中 运行 的 相互 配合 提供 服务 的 进程 是 目录 服务 代理 
(Directory Server Agent,DSA) 。 

一 个 DSA 收 到 操作 请 求 后 ,如 果 它 本 地 的 目录 信息 能 够 完成 此 操作 它 就 返回 结果 ,和 否 
则 DSA 有 两 种 选择 : 它 可 以 把 请 求 转 发 给 存 有 相关 目录 信息 的 DSA ,收集 它们 返回 的 结 
果 , 再 把 结果 送 回 请 求 者 ; 或 者 它 也 可 以 直接 向 请 求 者 返回 一 个 参考 指针 ,告诉 请 求 者 相关 
的 DSA 的 访问 地 址 ,由 请 求 者 自己 和 此 DSA 联系 。 目录 的 分 布 式 操作 都 基于 这 两 种 简单 
的 操作 模式 。 

全 部 目录 信息 分 布 在 许多 DSA 中 ,这 些 DSA 在 不 同 的 国家 受 不 同 组 织 的 管理 。 一 个 
组 织 管理 的 全 部 DSA 和 DUA 组 成 一 个 目录 管理 域 (Directory Management Domain， 
DMD)。 这 些 DSA 中 存储 的 条 目 构成 目录 信息 树 (Directory Information Tree,DIT) 域 ,一 
个 DIT 域 即 是 全 部 目录 信息 树 的 一 部 分 。DIT 域 中 条 目 总 可 以 分 成 不 相交 的 若干 子 树 ,每 
一 个 子 树 叫做 一 个 自治 管理 区 。 自 治 管理 区 是 目录 管理 的 独立 单位 ,各 个 自治 管理 区 独自 
管理 自己 的 子 树 。 自 治 管理 区 下 又 可 分 为 一 个 或 多 个 特定 管理 区 ,每 个 特定 管理 区 独立 负 
责 它 所 辖 条 目 特定 方面 的 事务 (如 存 取 控制 ,目录 构成 规则 等 )。 特 定 管理 区 又 可 分 成 内 部 
管理 区 ,内 部 管理 区 可 以 租 套 , 它 对 自己 内 部 的 条 目 有 一 定 管理 权限 ,同时 又 受到 上 级 特定 
内 部 管理 区 的 管理 ,实现 了 有 限 代 理 管 理 机 制 。 这 样 一 个 单位 既 对 全 单位 的 条 目 有 管理 权 ， 
又 可 下 放 一 部 分 权限 给 下 属 部 门 ,由 他 们 自己 管理 。 

目录 为 用 户 (DUA) 提 供 了 9 种 操作 ,主要 分 成 两 类 : 第 一 类 是 对 目录 信息 的 检测 ,包括 
读 属性 .比较 、 列 出 下 级 条 目 等 ; 第 二 类 操作 涉及 对 目录 中 条 目的 修改 ,包括 添加 一 个 条 目 、 
删除 、 修 改 条 目 等 。X. 500 定义 了 实现 目录 服务 时 网 络 中 的 传输 协议 : DSA 之 间 的 通信 协 
议 称 为 目录 系统 协议 (DSP),DSA 和 DUA 之 间 使 用 目录 访问 协议 (DAP) ,用 户 的 操作 请 求 
和 结果 都 是 通过 DAP 协议 传输 的 。 这 两 个 协议 基于 OSI 七 层 模型 ,它们 都 是 应 用 层 协 议 ， 
必须 有 表示 层 、 会 话 层 等 层 协议 的 支持 ,所 以 协议 开销 比较 大 ,对 计算 机 的 要 求 较 高 。 

总 结 而 言 ,X. 500 所 规定 的 目录 服务 有 以 下 特点 。 
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(1) 分 布 性 : 目录 信息 分 布 在 各 地 的 计算 机 中 ,并 由 各 组 织 管理 , 既 保证 了 目录 信息 总 
体 结构 一 致 ,又 满足 了 分 级 管理 的 需要 。 

(2) 灵活 性 : 规模 可 大 可 小 ,大 到 全 球 ,小 到 只 有 一 台 DSA 的 单位 ,X. 500 系列 目录 服 
务 都 能 胜任 ,并 且 容 易 扩展 。 

(3) 查询 灵活 : X. 500 系列 定义 的 操作 提供 了 非常 灵活 的 查询 条 件 , 并 且 还 可 根据 需 
要 扩展 ,可 满足 复杂 的 查询 需求 。 

(4) 平台 无 关 : 所 使 用 的 通信 协议 框架 是 OSI 七 层 模 型 ,完全 与 平台 无 关 , 保 证 各 种 类 
型 计算 机 在 目录 服务 中 的 互 操作 性 。 

(5) 全 球 统一 的 名 字 空 间 : X. 500 系列 建议 规定 了 总 体 命名 方式 ,虽然 目录 信息 库 中 
存放 着 各 种 类 型 的 对 象 的 信息 ,但 对 象 的 名 字 结 构 都 是 相同 的 。 

(6) 安全 性 : X. 501 建议 规定 了 存 取 控制 方案 ,充分 保证 条 目 信 息 的 安全 ,同时 又 便于 
管理 者 对 用 户 的 存 取 权限 进行 控制 。X. 509 建议 提出 了 一 个 基于 公开 密 钥 加 密 体 制 的 认证 
框架 ,利用 此 框架 ,目录 服务 可 以 为 其 他 应 用 提供 完善 的 身份 认证 服务 。 

在 PKI 体系 中 ,X. 500 被 用 来 唯一 标识 一 个 实体 ,该 实体 可 以 是 机 构 、 组 织 、 个 人 或 一 
台 服 务 器 。X. 500 被 公认 为 是 实现 一 个 目录 服务 的 最 好 途径 ,但 是 它 的 实现 需要 很 大 投资 ， 
效率 不 高 ,在 实际 应 用 中 存在 着 不 少 障碍 。DAP 对 相关 层 协 议 环境 要 求 过 多 ,在 许多 小 系 
统 上 无 法 使 用 ,也 不 适应 TCP/IP 协议 体系 。 鉴 于 此 ,出 现 了 DAP 的 简化 版 LDAP。 


8.5.3 X.S09 


X. 509 是 由 国际 电信 联盟 制定 的 数字 证 书 标准 。 在 X. 500 确保 用 户 名 称 唯一 性 的 基 
础 上 ,X. 509 为 X. 500 用 户 名 称 提供 了 通信 实体 的 认证 机 制 ,并 规定 了 实体 认证 过 程 中 广 
泛 适用 的 证 书 语法 和 数据 接口 。 

在 X. 509 方案 中 ,默认 的 加 密 机 制 是 公 钥 密码 机 制 。X. 509 的 最 初版 本 公布 于 1988 
年 。X. 509 证 书 由 用 户 公 共 密 钥 和 用 户 标 识 符 组 成 。 此 外 还 包括 版 本 号 、 证 书 序列 号 .CA 
标识 符 、 签 名 算法 标识 、 签 发 者 名 称 、. 证 书 有 效 期 等 信息 。 这 一 标准 的 最 新 版 本 是 X. 509 
v3, 它 定义 了 包含 扩展 信息 的 数字 证 书 。 该 版 数字 证 书 提供 了 一 个 扩展 信息 字段 ,用 来 提供 
更 多 的 灵活 性 及 特殊 应 用 环境 下 所 需 的 信息 传送 。X. 509 v4 版 本 已 经 推出 。 目 前 ， 
X. 509 标准 已 用 于 许多 网 络 安全 应 用 程序 ,包括 IP 安全 (IPSec) 安全套 接 层 (SSL) 、 安 全 
电子 交易 (SET) ,安全 多 媒体 Internet 邮件 扩展 (S/MIME) 等 。 

X. 509 标准 中 PKI 中 起 到 了 重要 的 作用 ,PKI 是 在 X. 509 基础 上 发 展 起 来 的 。X. 509 
标准 的 范围 包括 下 面 4 个 方面 。 

。 具体 说 明了 目录 的 认证 信息 的 形式 。 

。 描述 如 何 从 目录 获取 认证 信息 。 

。 说 明 如 何在 目录 中 构成 和 存放 认证 信息 的 假设 。 

。 定义 各 种 应 用 使 用 的 认证 消息 执行 的 方法 。 

该 标准 定义 了 以 下 技术 术语 ,本 文中 对 其 中 一 些 给 出 了 详细 讨论 。 

。 属性 证 书 (Attribute Certificate) : 将 用 户 的 一 组 属性 和 其 他 信息 ,通过 认证 机 构 的 
私 钥 进行 数字 签名 ,使 其 成 为 不 可 伪造 的 用 于 证 书 的 扩展 。 

。 认证 令 牌 (Authentication Tbken ) : 在 强 认 证 交换 期 间 运行 的 信息 ,用 于 认证 其 发 送 者 。 


第 8 章 公 钥 基础 设施 PKI 209 


。 用 户 证 书 、 公 钥 证 书 .证书 (User Certificate、Public Key Certificate、Certificate): 颁 
发 机 构 使 用 其 私 钥 进行 签名 的 用 户 的 公 钥 和 一 些 相关 信 息 。 

。 CA 证 书 (CA-Certificate) : 由 一 个 CA 颁发 给 另 一 个 CA 的 证 书 。 

。 证 书 策略 (Certificate Policy) : 已 命名 的 一 组 规则 ,指明 证 书 对 特地 的 组 合 具 有 公共 
安全 要 求 的 应 用 类 别 的 适用 性 。 

。 证 书 用 户 (Certificate User) : 需要 确切 知道 另 一 个 实体 公 钥 的 某 个 实体 。 

。 证 书 使 用 系统 CCertificate-Using System) : 在 本 目录 规范 定义 的 由 正式 用 户 所 使 用 
的 功能 实现 。 

。 认证 机 构 (Certificate Authority): 受用 户 信任 的 机 构 ,负责 创建 和 分 配 证 书 。 

。 认证 路 径 (Certification Path): 目录 信息 树 中 客体 证 书 的 有 序 系列 , 它 和 在 该 路 径 
的 最 初 客体 的 公 钥 一 起 ,可 以 被 处 理 以 获得 该 路 径 的 最 终 客体 的 公 钥 。 

。 CRL 分 布点 (CRL Distribution Point) : 通过 CRL 分 布点 所 分 布 的 CRL, 可 以 含有 
某 个 CA 颁发 的 证 书 全 集中 的 某 个 子 集 的 撤销 项 ,或 者 含有 多 个 CA 的 撤销 项 。 

。 密码 体制 (Cryptographic System): 从 明文 到 密 文 和 从 密 文 到 明文 的 变换 汇集 ,使 
用 的 特定 变换 由 密 钥 来 选 定 。 通 常用 一 个 数学 算法 来 定义 这 些 变 换 。 

。 A-CRL(delta-CRL): 仅 指示 自 CRL 颁发 以 来 变更 的 一 部 分 CRL。 

。 端 实体 (End Entity) : 不 是 为 签署 证 书 的 目的 而 使 用 其 公 钥 的 证 书 主体 。 

。 密 钥 协定 (Key Agreement) : 无 须 传 送 甚至 是 加 密 形式 的 密 钥 ,在线 协商 密 钥 值 的 
一 种 方法 。 

。 策略 映射 (Policy Mapping): 当 某 个 域 中 的 一 个 CA 认证 了 另 一 个 域 中 的 一 个 CA 
时 ,对 在 第 二 个 域 中 的 一 个 特定 证 书 策略 ,可 能 被 第 一 个 CA 域 中 的 认证 机 构 认为 
是 等 价 于 第 一 个 域 中 的 一 个 特定 证 书 政策 的 认可 。 

。 简单 认证 (Simple Authentication) : 借助 简单 口令 分 配方 法 进行 的 认证 。 

。 强 认 证 (Strong Authentication) : 借助 密码 派生 凭证 方法 进行 的 认证 。 

。 安全 策略 (Security Policy): 由 管理 安全 服务 和 设施 的 使 用 和 提供 的 安全 机 构 所 拟 
定 的 一 组 规则 。 

。 信任 (Trust) : 当 第 一 个 实体 假设 第 二 个 实体 完全 按照 第 一 个 实体 的 期 望 进行 动作 
时 , 则 称 第 一 个 实体 “信任 "第 二 个 实体 。 在 认证 框架 中 , “信任 ”的 关键 作用 是 描述 
鉴别 实体 和 认证 机 构 之 间 的 关系 ; 一 个 鉴别 实体 应 确信 它 “ 信 任 ” 的 认证 机 构 可 以 
创建 有 效 、 可 靠 的 证 书 。 

。 证 书 序列 号 (Certificate Serial Number) : 在 颁发 证 书 的 CA 范围 内 的 唯一 数值 ,该 
整数 值 无 歧义 地 与 那个 CA 所 颁发 的 一 个 证 书 相 关联 。 

除 此 之 外 ,还 有 一 些 我 们 在 前 面 章节 中 已 经 介绍 的 概念 ,如 单 向 函数 、 散 列 函 数 、 公 钥 和 

私 钥 等 。 
8. 2 节 中 给 出 了 证 书 和 CRL 的 基本 格式 ,X. 509 中 还 规定 了 对 证 书 和 CRL 在 以 下 领 
域 的 扩展 。 

。 密码 和 策略 信息 : 这 些 证 书 和 CRL 对 所 涉及 的 密 钥 的 附加 信息 进行 扩展 ,如 主体 密 
钥 和 颁发 者 密 钥 的 密 钥 标识 符 、 预 期 的 或 受 限 的 密 钥 用 法 的 指示 符 和 证 书 策略 的 指 
示 符 。 
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。 主体 属性 和 颁发 者 属性 : 这 些 证 书 和 CRL 扩展 支持 证 书 主体 、 证 书 颁发 者 或 CRL 
颁发 者 不 同名 字形 式 的 可 替换 名 字 。 这 些 扩展 也 可 传送 关于 证 书 主体 的 附加 属性 
信息 ,以 帮助 证 书 用 户 确信 证 书 主体 是 一 个 特定 的 个 人 或 实体 。 

。 认证 路 径 限 制 : 这 些 证 书 扩展 允许 在 CA 证 书 中 被 包括 的 限制 规范 , 即 由 另 一 CA 
颁发 给 某 一 个 CA 的 证 书 , 当 包括 多 个 证 书 策略 时 ,以 便于 自动 化 处 理 证 书 路 径 。 
当 对 于 某 一 环境 中 的 不 同 应 用 而 言 策略 不 同时 ,或 者 当 与 外 部 环境 发 生 互 操作 时 ， 
则 多 个 证 书 策略 出 现 了 。 这 些 限制 可 以 限制 由 CA 主体 所 颁发 的 证 书 类 型 ,或 者 在 
认证 路 径 上 后 续 可 以 出 现 的 证 书 类 型 。 

。 基本 的 CRL 扩展 : 允许 CRL 包括 撤销 原因 的 指示 ,提供 一 个 证 书 的 临时 暂停 和 包 
括 CRL 颁布 序列 号 ,而 该 序列 号 允许 证 书 的 用 户 在 来 自 某 一 个 CRL 颁发 者 的 序列 
中 检测 到 丢失 的 CRL。 

。 CRL 分 布点 和 A-CRLs: 这 些 证 书 和 CRL 扩展 允许 把 来 自 某 一 个 CA 的 完整 的 撤 
销 信 息 集合 分 配 到 若干 独立 的 CRL, 并 且 人 允许 把 来 自 多 个 CA 的 撤销 信息 合并 到 某 一 
个 CRL。 这 些 扩展 还 支持 自 先 前 的 CRL 颁发 以 来 仅 指示 变化 的 部 分 CRL 的 使 用 。 

包含 在 证 书 或 CRL 中 的 任何 扩展 都 是 颁发 该 证 书 或 CRL 的 认证 机 构 的 可 选项 。 在 证 

书 或 CRL 中 ,扩展 被 标志 为 关键 的 或 非 关键 的 。 如 果 扩 展 被 标志 为 关键 的 ,并 且 证 书 使 用 
系统 不 能 识别 出 该 扩展 字段 类 型 ,或 者 没有 实现 扩展 的 语义 , 则 系统 认为 该 证 书 无 效 。 如 果 
扩展 被 标志 为 非 关键 的 , 则 不 能 识别 出 或 实现 相应 扩展 的 证 书 使 用 系统 可 以 忽略 该 证 书 的 
扩展 部 分 。 

X. 509 标准 中 描述 了 两 种 认证 : 简单 认证 (使 用 口令 作为 身份 的 认证 ) 和 强 认 证 (使 用 

密码 技术 实现 认证 ) 。 
1. 简单 认证 
简单 认证 提供 建立 在 用 户 标识 符 、 双 方 协商 的 口令 ,以 及 某 个 单一 区 域 中 双方 可 理解 的 
口令 的 使 用 和 处 理 方法 之 上 的 本 地 认证 方法 。 简 单 认 证 一 般 只 用 于 本 地 的 对 等 实体 , 即 一 
个 DUA 和 一 个 DSA 之 间 ,或 一 个 DSA 与 男 一 个 DSA 之 间 的 鉴别 。 通 常 可 以 采用 以 下 三 
种 方法 实现 简单 鉴别 。 
第 一 种 方法 是 以 清楚 明确 ( 即 无 保护 ) 的 方法 将 用 户 的 可 标识 符 和 口令 传送 给 接收 方 ， 
以 待考 察 , 其 处 理 过 程 如 下 。 

(1) 发 送 方 A 将 其 标识 符 和 口令 发 送 给 接收 方 用 户 B。 

(2) 用 户 B 将 用 户 A 声明 的 标识 符 和 口令 发 送 给 目录 ,然后 目录 用 比较 操作 ,检查 与 
用 户 A 有 关 的 目录 项 的 用 户口 令 。 
(3) 目录 向 用 户 B 返 回 证 实 ( 或 否认 ) 该 口令 是 否 有 效 的 信息 。 
(4) 用 户 可 以 向 用 户 A 发 送 认 证 结果 , 即 成 功 或 失败 信息 。 
第 二 种 方法 是 将 用 户 的 标识 符 .口令 ,以 及 一 个 随机 数 和 /或 时 间 标 记 通 过 使 用 单 向 函 
数 进行 保护 并 传送 。 0) 

第 三 种 方法 是 将 第 二 种 方法 连同 一 个 随机 数 和 /或 时 间 & 。 了 3 
标记 一 起 通过 使 用 单 向 函数 进行 保护 ,然后 再 传送 。 图 8. 5 
显示 了 有 保护 的 简单 认证 过 程 。 图 8.5 有 保护 的 简单 认证 过 程 
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(1) 发 送 方 A 使 用 单 向 函数 五 得 到 认证 码 , 向 B 发 送 如 下 信息 。 
tasqa»A,f(ta,qa,A,passwa) 
其 中 ta 是 时 间 惟 ,qa 是 随机 数 ,主要 用 于 减少 重 放 和 隐藏 口令 ,并 使 用 散 列 函数 对 时 间 戳 、 
随机 数 .标识 符 和 口令 进行 计算 。 

(2) B 收 到 上 述 信 息 后 ,使 用 收 到 的 信息 和 本 地 存储 的 口令 进行 单 向 计算 ,将 计算 的 结 
果 和 收 到 的 散 列 值 进行 比较 .如果 一 致 , 则 返回 核实 结果 (证 实 或 拒绝 ) 给 A。 

2. 强 认证 

X. 509 标准 中 采用 的 强 认 证 方法 是 利用 公 钥 密码 体制 来 实现 的 。 该 认证 框架 并 不 限定 
使 用 某 个 特定 的 密码 体制 ,适用 于 任何 公开 密码 体制 。 但 是 ,两 个 需要 互相 认证 的 用 户 必须 
支持 相同 的 密码 算法 。 

每 个 用 户 都 可 用 其 所 拥有 的 私 钥 来 标识 。 一 个 用 户 则 可 根据 其 通信 对 方 是 否 拥有 这 个 
私 钥 来 确定 他 是 否 确 实 为 授权 用 户 。 一 个 用 户 若 要 确定 其 通信 对 方 是 否 拥有 其 用 户 的 私 
钥 ,他 就 必须 拥有 该 用 户 的 公 钥 。 用 户 的 公 钥 值 可 以 直接 从 目录 的 用 户 项 中 获得 。 

对 一 个 用 户 来 说 ,为 了 信任 该 认证 过 程 ,他 可 以 选择 从 其 信任 的 机 构 获 得 其 他 用 户 的 公 
钥 。 这 个 可 被 公众 信任 的 机 构 , 即 为 认证 机 构 CA。 

如 前 所 述 , 这 里 提 到 的 证 书 具 有 以 下 特征 。 

。 任何 访问 认证 机 构 的 公 钥 用 户 ,都 可 以 申请 并 得 到 已 被 CA 认证 的 公 角 证书。 

。 除 认 证 机 构 外 ,没有 任何 其 他 组 织 能 够 修改 这 个 证 书 而 不 被 查 出 。 

下 面 是 三 种 常见 的 强 认证 方法 ,其 中 采用 了 符号 描述 方法 和 前 面 章节 有 所 不 同 , 这 里 给 
出 说 明 : X{T) 表 示 用 户 X 对 信息 I 的 数字 签名 , 它 包含 信息 I 及 其 散 列 值 。 

(1) 单 向 认证 : 由 A 单一 的 向 B 传送 认证 信息 的 过 程 , 如 图 8.6 所 示 。 

其 中 ,ts 是 时 间 蕉 ,ra 是 随机 数 ,sgnData 是 一 个 附加 信息 ,为 由 签名 者 提供 的 数据 源 
认证 。A 使 用 自己 的 私 钥 对 这 些 信息 进行 数字 签名 。B 收 到 后 首先 验证 签名 是 否 合法 , 青 
通过 检查 tA 和 ra 来 判断 该 消息 是 否 是 重 放 消 息 。 这 种 单 向 认证 方式 可 以 用 于 网 上 银行 的 
B2C 认证 , 即 银行 B 认证 客户 A 的 情况 中 。 

(2) 双向 认证 : 除了 单 向 认证 过 程 ,B 还 将 对 A 给 出 应 答 ,如 图 8.7 所 示 。 

其 中 ,B 在 收 到 A 的 消息 后 ,经 检查 合法 , 则 生成 一 个 不 重复 的 随机 数 rs ,使 用 自己 的 
私 钥 对 ra、 时间 蕉 tp、A 的 标识 符 以 及 sgnData 进行 签名 ,发 送 给 A。A 对 于 B 的 应 答 进 行 
检查 ,判断 是 否 合法 。 这 种 双向 认证 方式 可 以 应 用 于 网 上 银行 的 B2B 交易 认证 ,银行 B 不 
但 要 认证 客户 A, 客 户 A 还 要 认证 银行 B 是 否 是 自己 真正 的 开户 行 。 

(3) 三 向 认证 : 在 双向 认证 的 基础 上 ,对 于 B 给 A 发 的 认证 消息 ,A 再 给 出 应 答 ,表示 
已 经 收 到 B 的 消息 并 给 予 了 响应 ,对 于 B 提供 的 随机 数 及 其 标识 符 进行 数字 签名 ,这 样 B 
在 收 到 A 再 次 返回 的 消息 ,就 认证 了 A。 三 向 认证 的 过 程 如 图 8. 8 所 示 。 


Afta:ra,B,sgnData} 
Afta,ra,B,sgnData} 
Af{ta,ra,B,sgnData 
OO ) {traB,sg } (B) Bfta.re.A.sgnData} Afre'B} 


图 8.6 单 向 认证 图 8.7 双向 认证 图 8.8 三 向 认证 
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8.5.4 PKCS 系列 标准 


公 钥 密码 标准 (Public Key Cryptography Standard,PKCS) 是 由 美国 RSA 数据 安全 公 
司 及 其 合作 伙伴 制定 的 一 组 公 钥 密码 学 标准 ,其 中 包括 证 书 申请 、 证 书 更 新 .证 书 作废 表 发 
布 .扩展 证 书 内 容 以 及 数字 签名 .数字 信封 的 格式 等 方面 的 一 系列 相关 协议 。 到 1999 年 底 ， 
PKCS 已 经 公布 了 以 下 标准 ,这 些 标准 主要 用 于 用 户 的 证 书 申请 .证书 更 新 过 程 ,以 及 在 
PKI 中 涉及 的 一 些 协议 及 相关 的 操作 中 。 
。 PKCS#1: 定义 RSA 公开 密 钥 算法 加 密 和 签名 机 制 ,主要 用 于 组 织 PKCS#7 中 所 
描述 的 数字 签名 和 数字 信封 。 
。 PKCS#3;: 定义 Diffie-Hellman 密 钥 交换 协议 。 
。 PKCS#5: 基于 口令 的 加 密 标准 。 描 述 了 使 用 由 口令 生成 的 密 钥 来 加 密 8 位 位 串 
并 产生 一 个 加 密 的 8 位 位 串 的 方法 。 主 要 用 于 密 钥 的 安全 传输 ,但 不 加 密 消息 。 
。 PKCS#6: 描述 了 公 角 证书 的 标准 语法 ,主要 描述 X. 509 证 书 的 扩展 格式 。 
。 PKCS#7;: 定义 一 种 通用 的 消息 语法 ,包括 数字 签名 和 加 密 等 用 于 增强 的 加 密 机 
制 ,PKCS#7 与 PEM 兼容 ,所 以 不 需 其 他 密码 操作 ,就 可 以 将 加 密 的 消息 转换 成 
PEM 消息 。 
。 PKCS# 8: 描述 私 钥 信息 格式 ,该 信息 包括 公开 密 钥 算法 的 私有 密 钥 以 及 可 选 的 属 
。 PKCS#9: 定义 一 些 用 于 PKCS#56 证 书 扩展 .PKCS#7 数字 签名 和 PKCS#8 私 钥 
加 密 信 息 的 属性 类 型 。 
。 PKCS#10: 描述 证 书 请 求 语法 。 
。 PKCS#11: 称 为 Cyptoki, 定 义 了 一 套 独 立 于 技术 的 程序 设计 接口 ,用 于 智能 卡 和 
PCMCIA 卡 之 类 的 加 密 设备 。 
。 PKCS#12: 描述 个 人 信息 交换 语法 标准 。 描 述 了 将 用 户 公 钥 、 私 钥 、 证 书 和 其 他 相 
关 信 息 打包 的 语法 。 
。 PKCS#13: 椭圆 曲线 密码 体制 标准 。 
。 PKCS#14; 伪 随 机 数 生成 标准 。 
。 PKCS#15: 密码 令 牌 信息 格式 标准 。 通 过 定义 令 牌 上 存储 的 密码 对 象 的 通用 格式 
来 增进 密码 令 牌 的 互 操作 性 。 


8.5.5 轻 量 级 目录 访问 协议 


轻 量 级 目录 访问 协议 (Lightweight Directory Access Protocol, LDAP) 的 目的 很 明确 ， 
就 是 要 简化 X. 500 目录 的 复杂 度 以 降低 开发 成 本 ,同时 适应 Internet 的 需要 ,所 以 称 为 轻 
量 级 的 目录 服务 。LDAP 在 功能 性 ` 数 据 表 示 、 编 码 和 传输 方面 都 进行 了 相应 的 修改 。 
LDAP 技术 发 展 很 快 ,在 企业 范围 内 实现 LDAP 可 以 让 几乎 所 有 计算 机 平台 上 的 所 有 应 用 
程序 从 LDAP 目录 中 获取 信息 。LDAP 目录 中 可 以 存储 各 种 类 型 的 数据 ,如 电子 邮件 地 
址 .邮件 路 由 信息 .人 力 资源 数据 库 和 公 钥 信息 等 。 通 过 把 LDAP 目录 作为 系统 集成 中 的 
一 个 重要 环节 ,可 以 简化 员工 在 企业 内 部 查询 信息 的 步骤 。 

LDAP 已 经 成 为 目录 服务 的 标准 , 它 比 X. 500 DAP 协议 更 为 简单 实用 ,而 且 可 以 根据 
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需要 定制 ,因而 实际 应 用 也 更 为 广泛 。 与 X. 500 不 同 ,LDAP 支持 TCP/IP 协议 ,这 对 访问 
Internet 是 必需 的 。X. 500 采用 公 钥 基础 结构 (PKD 作 为 主要 的 认证 方式 ,而 LDAP 最 初 
并 不 考虑 安全 问题 ,目前 已 增加 安全 机 制 。 为 保证 数据 访问 安全 ,可 使 用 LDAP 的 ACL 
(访问 控制 列表 ) 来 控制 对 数据 读 和 写 的 权限 。LDAP 目前 有 两 个 版 本 : 第 2 版 LDAP v2 
和 第 3 版 LDAP v3。 基 于 LDAP v3 的 服务 器 可 以 让 普通 用 户 使 用 支持 LDAP 功能 的 Web 
浏览 器 ,进行 有 关 电 子 邮 件 用 户 的 查询 ,可 以 查询 的 用 户 属性 包括 姓名 、 电 话 号 码 、 电 子 邮件 
地 址 和 地 址 信息 等 ; 系统 管理 员 可 以 通过 LDAP 客户 程序 远程 进行 目录 管理 操作 ,如 添加 、 
删除 和 修改 用 户 账户 信息 等 : 可 以 请 求 服务 器 执行 扩展 操作 。1997 年 ,LDAP 第 3 版 本 成 
为 互联 网 标准 。 目 前 ,LDAP v3 已 经 在 PKI 体系 中 被 广泛 应 用 于 证 书信 息 发 布 .CRL 信息 
发 布 .CA 政策 以 及 与 信息 发 布 相关 的 各 个 方面 。 

LDAP 目录 以 树 状 的 层次 结构 来 存储 数据 ,LDAP 目录 记录 的 标识 名 用 来 读 取 单个 记 
录 , 以 及 回溯 到 树 的 顶部 。 在 LDAP 中 目录 是 按照 树 型 结构 组 织 的 ,目录 由 条 目 (Entry) 组 
成 ,条 目 相 当 于 关系 数据 库 中 表 的 记录 :; 条 目 具 有 标识 名 DN 的 属性 (Attribute) 集 合 ,DN 
相当 于 关系 数据 库 表 中 的 主键 (Primary Key); 属性 由 类 型 (Type) 和 多 个 值 (Values) 组 成 ， 
相当 于 关系 数据 库 中 的 域 (Field), 由 域名 和 数据 类 型 组 成 。 为 了 方便 检索 的 需要 ,LDAP 
中 的 Type 可 以 有 多 个 Value, 而 不 像 关系 数据 库 中 为 降低 数据 的 元 余 性 ,要 求实 现 的 各 个 
域 必 须 是 不 相关 的 。LDAP 中 条 目的 组 织 一 般 按 照 地 理 位 置 和 组 织 关 系 进行 组 织 , 非 常 的 
直观 。LDAP 把 数据 存放 在 文件 中 ,为 提高 效率 可 以 使 用 基于 索引 的 文件 数据 库 , 而 不 是 关 
系数 据 库 。LDAP 协议 集 还 规定 了 可 识别 的 标识 符 的 命名 方法 、 存 取 控 制 方法 、 搜 索 格式 、 
复制 方法 .URL 格式 、 开 发 接口 等 ,LDAP 对 于 存储 这 样 的 信息 最 为 有 用 ,也 就 是 数据 需要 
从 不 同 的 地 点 读 取 ,但 是 不 需要 经 常 更 新 。 

如 果 需 要 开发 一 种 提供 公共 信息 查询 的 系统 ,一般 的 设计 方法 可 能 是 采用 基于 Web 的 
数据 库 设 计 方 式 , 即 前 端 使 用 浏览 器 而 后 端 使 用 Web 服务 器 加 上 关系 数据 库 。 但 这 种 方法 
的 缺点 是 后 端 关 系数 据 库 的 引入 导致 系统 整体 的 性 能 降低 和 系统 的 管理 比较 烦琐 , 因为 需 
要 不 断 地 进行 数据 类 型 的 验证 和 事务 的 完整 性 确认 ; 并 且 前 端 用 户 对 数据 的 控制 不 够 灵 
活 ,用 户 权 限 的 设置 一 般 只 能 是 设置 在 表 一 级 而 不 是 设置 在 记录 一 级 。 

目录 服务 的 推出 主要 是 解决 上 述 数 据 库 中 存在 的 问题 。 目 录 与 关系 数据 库 相 似 , 具 有 
描述 性 的 基于 属性 的 记录 集合 ,但 其 数据 类 型 主要 是 字符 型 。 为 了 检索 的 需要 ,添加 了 BIN 
(二 进 制 数据 )、CIS( 忽 略 大 小 写 ) .CES( 大 小 写 敏 感 ) 和 TEL( 电 话 型 ) 等 语法 (Syntax) ,而 
不 是 关系 数据 库 提供 的 整数 . 浮 点 数 . 日 期 和 货币 等 类 型 ,同样 也 不 提供 像 关 系数 据 库 中 普 
遍 包 含 的 大 量 的 函数 , 它 主要 面向 数据 的 查询 服务 (查询 和 修改 操作 比 一 般 是 大 于 10 : 1)， 
不 提供 事务 的 回 滚 (CRollback) 机 制 , 它 的 数据 修改 使 用 简单 的 锁定 机 制 实现 All-or- 
Nothing, 它 的 目标 是 快速 响应 和 大 容量 查询 ,并 且 提 供 多 目录 服务 器 的 信息 复制 功能 。 

LDAP 的 主要 功能 ,也 是 其 优势 体现 之 处 如 下 。 

(1) 可 以 在 任何 计算 机 平台 上 ,用 很 容易 获得 的 而 且 数目 不 断 增加 的 LDAP 的 客户 端 
程序 访问 LDAP 目录 ,而且 也 很 容易 定制 应 用 程序 为 它 加 上 LDAP 的 支持 。 

(2) LDAP 协议 是 路 平台 的 和 标准 的 协议 ,因此 应 用 程序 就 不 用 为 LDAP 目录 放 在 什 
么 样 的 服务 器 上 操心 了 。 因 为 LDAP 是 Internet 的 标准 ,得 到 了 业界 的 广泛 认可 和 支持 。 
LDAP 服务 器 可 以 是 任何 一 个 开发 源 代码 或 商用 的 LDAP 目录 服务 器 (或 者 还 可 能 是 具有 
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LDAP 界面 的 关系 型 数据 库 ), 因 为 可 以 用 同样 的 协议 、 客 户 端 连接 软件 包 和 查询 命令 与 
LDAP 服务 器 进行 交互 。 大 多 数 的 LDAP 服务 器 安装 起 来 很 简单 ,也 容易 维护 和 优化 。 

(3) LDAP 服务 器 可 以 用 “ 推 ”或 “ 拉 ” 的 方法 复制 部 分 或 全 部 数据 。 例 如 ,可 以 把 数据 
“ 推 ? 到 远程 的 办 公 室 或 下 级 目录 ,以 增加 数据 的 安全 性 。LDAP 服务 器 中 内 置 了 复制 技术 ， 
且 很 容易 配置 。 

(4) LDAP 允许 根据 需要 使 用 访问 控制 信息 (Access Control Information ,一 般 都 称 为 
ACL 或 者 访问 控制 列表 ) 控 制 对 数据 读 和 写 的 权限 。 例 如 ,设备 管理 员 可 以 有 权 改 变 员 工 
的 工作 地 点 和 办 公 室 号 码 , 但 是 不 允许 改变 记录 中 其 他 的 域 。ACI 可 以 根据 谁 访问 数据 、 
访问 什么 数据 数据 存在 什么 地 方 及 其 他 对 数据 进行 访问 控制 ,因为 这 些 都 是 由 LDAP 目 
录 服 务 器 完成 的 ,所 以 不 用 担心 在 客户 端的 应 用 程序 上 是 否 要 进行 安全 检查 。 

(5) LDAP 提供 了 复杂 的 不 同 层次 的 访问 控制 或 者 ACL。 这 些 访问 可 以 在 服务 器 端 
控制 ,因此 比 用 客户 端 软件 更 能 保证 数据 安全 。 


8.6 PKI 的 应 用 与 发 展 


8.6.1 PKI 的 应 用 


作为 一 种 基础 设施 ,PKI 的 应 用 范围 非常 广泛 ,并 且 在 不 断 发 展 之 中 ,包括 在 Web 服务 
器 和 浏览 器 之 间 的 通信 .电子 邮件 .电子 数据 交换 、 在 Internet 上 的 信用 卡 交 易 和 虚拟 私有 
网 等 。 下 面 给 出 几 个 常见 的 应 用 。 

1. 虚拟 专用 网 络 

虚拟 专用 网 络 (VPN) 是 一 种 架构 在 公用 通信 基础 设施 上 的 专用 数据 通信 网 络 , 利 用 网 
络 层 安全 协议 (尤其 是 IPSec) 和 建立 在 PKI 上 的 加 密 与 签名 技术 来 获得 机 密 性 保护 。 基 于 
PKI 技术 的 IPSec 协议 现在 已 经 成 为 架构 VPN 的 基础 , 它 可 以 为 路 由 器 之 间 、 防 火 墙 之 间 
或 者 路 由 器 和 防火 墙 之 间 提 供 经 过 加 密 和 认证 的 通信 。 虽 然 它 的 实现 复杂 一 些 ,但 其 安全 
性 比 其 他 协议 都 完善 得 多 。 在 基于 PKI 对 VPN 产品 中 ,用 户 使 用 数字 证 书 在 客户 端 和 服 
务 器 之 间 建 立 安全 的 VPN 连接 。 

2. 安全 电子 邮件 

作为 Internet 上 最 有 效 的 应 用 ,电子 邮件 凭借 其 易 用 、 低 成 本 和 高 效 已 经 成 为 现代 商业 
中 的 一 种 标准 信息 交换 工具 。 随 着 Internet 的 持续 增长 ,商业 机 构 或 政府 机 构 都 开始 用 电 
子 邮 件 交换 一 些 秘密 的 或 是 有 商业 价值 的 信息 .这 就 引出 了 一 些 安全 方面 的 问题 ,包括 消息 
和 附件 可 以 在 不 为 通信 双方 所 知 的 情况 下 被 读 取 、 算 改 或 截 掉 ,发 信人 的 身份 无 法 确认 。 

实际 使 用 中 ,PGP 技术 在 电子 邮件 通信 中 得 到 了 一 定 的 发 展 ,但 由 于 PGP 的 应 用 模式 
局 限 了 其 应 用 是 用 户 对 用 户 的 ,并 需要 在 通信 之 前 实现 沟通 ,对 于 电子 邮件 的 安全 需求 (机 
密 、 完 整 , 认 证 和 不 可 否认 ) 可 以 考虑 采用 PKI 技术 来 获得 。 目 前 发 展 很 快 的 安全 电子 邮件 
协议 是 S/MIME(The Secure Multipurpose Internet Mail Extension) 的 实现 是 依赖 于 PKI 
技术 的 。 
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3. Web 安全 

浏览 Web 页 面 是 人 们 最 常用 的 访问 Internet 的 方式 。 如 果 要 通过 Web 进行 一 些 商 业 
交易 ,该 如 何 保证 交易 的 安全 呢 ? 为 了 透明 地 解决 Web 的 安全 问题 ,在 两 个 实体 进行 通信 
之 前 , 先 要 建立 SSL 连接 ,以 此 实现 对 应 用 层 透 明 的 安全 通信 。 利 用 PKI 技术 ,SSL 协议 允 
许 在 浏览 器 和 服务 器 之 间 进 行 加 密 通 信 。 此 外 服务 器 端 和 浏览 器 端 通信 时 双方 可 以 通过 数 
字 证 书 的 交互 确认 对 方 的 身份 。 基 于 PKI 技术 ,结合 SSL 协议 和 数字 证 书 , 则 可 以 保证 
Web 交易 多 方面 的 安全 需求 ,使 Web 上 的 交易 和 面对面 的 交易 一 样 安全 。 

4. 安全 电子 交易 

电子 商务 在 提供 机 遇 和 便利 的 同时 ,也 面临 着 一 个 最 大 的 挑战 , 即 交 易 的 安全 问题 。 在 
网 上 购物 的 环境 中 , 持 卡 人 和 希望 在 交易 中 保密 自己 的 账户 信息 ,使 之 不 被 人 盗用 ; 商家 则 和 希 
望 客户 的 订单 不 可 否认 ,并 且 ,在 交易 过 程 中 ,交易 各 方 都 希望 验 明 其 他 方 的 身份 ,以 防止 被 
欺骗。 针对 这 种 情况 ,由 美国 Visa 和 MasterCard 两 大 信用 卡 组 织 联合 国际 上 多 家 科技 机 
构 , 共 同 制定 了 应 用 于 Internet 上 的 以 银行 卡 为 基础 进行 在 线 交 易 的 安全 标准 ,这 就 是 “ 安 
全 电子 交易 (Secure Electronic Transaction ,SET)”。 
由 于 SET 提供 了 消费 者 .商家 和 银行 之 间 的 认证 ,确保 了 交易 数据 的 安全 性 、 完 整 可 靠 
性 和 交易 的 不 可 否认 性 ,因此 它 成 为 日 前 公认 的 信用 卡 / 借 记 卡 的 网 上 交易 的 国际 安全 标 
准 。SET 协议 采用 公 钥 密码 体制 和 X. 509 数字 证 书 标准 ,是 PKI 框架 下 的 一 个 典型 实现 ， 
同时 也 在 不 断 升级 和 完善 。 


8.6.2 PKI 的 发 展 


从 目前 的 发 展 来 说 ,PKI 的 范围 非常 广 , 而 不 仅仅 局 限于 通常 认为 的 CA 机 构 , 它 还 包 
括 完整 的 安全 策略 和 安全 应 用 。 因 此 ,PKI 的 开发 也 从 传统 的 身份 认证 到 各 种 与 应 用 相关 
的 安全 场合 ,如 企业 安全 电子 商务 和 政府 的 安全 电子 政务 等 。 

PKI 发 展 的 一 个 重要 方面 就 是 标准 化 问题 , 它 也 是 建立 互 操 作 性 的 基础 。 本 文 前 面 章 
节 讨 论 的 PKI 相关 标准 ,包括 美国 RSA 公司 的 公 钥 加 密 标 准 PKCS 系列 和 Internet 工程 
任务 组 IETF (Internet Engineering Task Force) 和 PKI 工作 组 PKIX (Public Key 
Infrastructure Working Group) 所 定义 的 一 组 具有 互 操作 性 的 公 钥 基础 设施 协议 。 其 他 工 
业界 和 政府 组 织 也 规定 了 各 自 的 协议 子 集 和 操作 模型 ,这些 协议 子 集 和 操作 模型 是 这 些 组 
织 根据 他 们 各 自 的 安全 和 电子 服务 需求 对 更 为 宽泛 的 PKI 规 范 进行 剪裁 得 到 的 。 

2001 年 ,由 微软 、Versign 和 WebMethods 三 家 公司 发 布 了 XML 密 钥 管 理 规范 (XML 
Key Management Specification,XKMS) ,被 称 为 第 二 代 PKI 标准。XKMS 由 两 部 分 组 成 ， 
XML 密 钥 信 息 服务 规范 (XML Key Information Service Specification,X-KISS) 和 XML 密 
钥 注 册 服 务 规范 (XML Key Registration Service Specification, X-KRSS)。X-KISS 定义 了 
包含 在 XML-SIG 元 素 中 的 用 于 验证 公 钥 信息 合法 性 的 信任 服务 规范 ; 使 用 X-KISS 规范 ， 
XML 应 用 程序 可 通过 网 络 委托 可 信 的 第 三 方 CA 处 理 有 关 认 证 签名 、 查 询 、 验 证、 绑 定 公 钥 
信息 等 服务 。X-KRSS 则 定义 了 一 种 可 通过 网 络 接受 公 钥 注册 、 撤 销 、 恢 复 的 服务 规范 ; 
XML 应 用 程序 建立 的 密 钥 对 ,可 通过 X-KRSS 规范 将 公 钥 部 分 及 其 他 有 关 的 身份 信息 发 
给 可 信 的 第 三 方 CA 注册 。X-KISS 和 X-KRSS 规范 都 按照 XML Schema 结构 化 语言 定 
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义 , 使 用 简单 对 象 访问 协议 (SOAP v1. 1) 进 行 通 信 , 其 服务 与 消息 的 语法 定义 遵循 Web 服 
务 定义 语言 (WSDL v1.0)。 目 前 XKMS 已 成 为 W3C 的 推荐 标准 ,并 已 被 微软 、Versign 等 
公司 集成 于 他 们 的 产品 中 (微软 已 在 ASP. net 中 集成 了 XKMS,Versign 公司 已 发 布 了 基于 
Java 的 信任 服务 集成 工具 包 TSIK ) 。 

PKI 的 发 展 受 到 应 用 驱动 的 影响 ,发 展 非常 快 , 已 经 出 现 了 大 量 成 熟 技术 .产品 和 解决 
方案 , 正 逐 步 走 向 成 熟 。 目 前 ,PKI 产品 的 生产 厂家 很 多 ,比较 有 代表 性 的 主要 有 VeriSign、 
Entrust 和 Baltimore 公司 。VeriSign 借助 RSA 成 熟 的 安全 技术 ,提供 的 PKI 产品 为 用 户 
之 间 的 内 部 信息 交互 提供 安全 保障 。 另 外 ,VeriSign 也 提供 对 外 的 CA 服务 ,包括 证 书 的 发 
布 和 管理 等 功能 ,并 且 同 一 些 大 的 生产 商 ,如 Microsoft JavaSoft 等 ,保持 了 伙伴 关系 ,以 在 
Internet 上 提供 代码 签名 服务 。Entrust 从 事 PKI 的 研究 与 产品 开发 已 经 有 很 多 年 的 历史 
了 ,并 一 直 在 业界 保持 领先 地 位 ,拥有 许多 成 熟 的 PKI 及 配套 产品 ,并 提供 了 有 效 的 密 钥 管 
理 功 能 。 总 部 设 在 爱尔兰 的 Baltimore 推出 PKI 产 品 UniCERT 是 一 个 策略 驱动 .模块 
化 的 PKI, 可 以 使 整个 PKI 贯彻 同一 个 安全 策略 ,同时 依靠 模块 化 的 设计 ,实现 了 高 度 的 灵 
活性 和 可 扩展 性 。 

国内 是 从 20 世纪 90 年 代 末 开始 发 展 PKI 及 其 应 用 ,在 此 期 间 ,PKI 的 厂商 在 PKI 的 
可 用 性 和 技术 实施 方面 也 取得 了 很 大 进步 。 国 内 已 经 成 功 建设 大 型 的 行业 性 或 是 区 域 性 的 
PKI/CA 就 有 40 多 个 。 除 此 之 外 ,许多 企 事业 单位 内 部 建立 的 小 型 PKI/CA 还 有 很 多 。 影 
响 最 大 的 行业 性 PKI/CA 有 中 国 金融 认证 中 心 (CFCA) .中国 电信 认 证 中 心 (CTCA); 影响 
最 大 的 区 域 性 PKI/CA 有 上 海 CA 认证 中 心 和 广东 CA 认证 中 心 。 这 些 CA 中 心 主要 用 于 
电子 商务 。 各 级 政府 也 在 建设 PKI/CA., 主 要 用 于 电子 政务 。2002 年 4 月 ,我 国 在 信息 安 
全 标准 委员 会 的 领导 下 ,由 WG4 工作 组 制定 了 一 系列 的 PKI 标准。 制定 的 PKI 标准 规范 
有 基于 X. 509 的 国内 证 书 格式 规范 、PKI 组 件 最 小 互 操 作 规 范 、X. 509 在 线 证 书 状态 查询 
协议 、X. 509 证 书 管理 协议 .PKI 产品 的 安全 测试 认证 规范 、PKI 系统 安全 保护 等 级 评估 准 
则 、PKI 系统 安全 保护 等 级 技术 要 求 等 。 在 我 国电 子 签名 法 颁发 之 后 ,PKI 的 应 用 更 是 得 到 
了 有 力 的 支持 和 推动 。 随 着 电子 商务 .电子 政务 的 蓬勃 发 展 , 进 一 步 实现 PKI 的 互联 互通 
对 我 国电 子 商务 .电子 政务 发 展 非常 重要 。 


8.7 关键 术 话 


公 钥 基础 设施 (Public Key Infrastructure.PKI) 
认证 中 心 也 称 权 威 中 心 (Certificate Authority,CA) 

数字 证 书 (Digital Certificate) 

公 和 钥 证 书 (Public Key Certificate) 

证 书 撤销 链表 (Certificate Revocation Lists,CRL) 

在 线 证 书 状态 协议 (Online Certificate Status Protocol, OCSP) 
交叉 认证 (Cross-Certification) 

证 书 策略 (Certificate Policy) 

证 书 用 户 (Certificate User) 
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认证 路 径 (Certification Path) 

简单 认证 (Simple Authentication) 

强 认 证 (Strong Authentication) 

信任 (Trust) 

公 钥 密码 标准 (Public Key Cryptography Standard. PKCS) 

轻 量 级 目录 访问 协议 (Lightweight Directory Access Protocol,LDAP) 
时 间 惟 机 构 (Time Stamp Authority, TSA) 


8.8 习 题 


PKI 的 主要 组 成 是 什么 ? 它们 各 自 的 功能 各 是 什么 ? 

什么 是 交叉 认证 ? 请 给 出 交叉 认证 的 过 程 。 

PKI 中 有 哪些 常见 的 信任 模型 ? 各 种 的 特点 是 什么 ? 

PKI 可 以 提供 哪些 安全 服务 ? 

X. 509 标准 的 目标 是 什么 ? 

X. 509 中 是 如 何 撤销 证 书 的 ? 

请 具体 描述 PKI 在 网 络 安全 应 用 中 的 一 个 案例 ,并 分 析 PKI 在 其 中 所 起 的 作用 。 
请 给 出 案例 ,说 明基 于 PKI 的 SSL 是 如 何 工作 的 ? 


oo oo 0 co 0 0 0 co 
oo 中 四 上 忆 十 


本 章 导 读 

扣 本 章 主要 介绍 防火 墙 的 概念 、 作 用、 分 类 、 技 术 和 体系 结构 等 内 容 。 

如 防火 墙 是 位 于 一 个 或 多 个 安全 的 内 部 网 络 和 非 安 全 的 外 部 网 络 ( 如 Internet) 之 间 的 
进行 网 络 访问 控制 的 网 络 设备 (或 系统 )。 防 火 墙 的 目的 是 防止 不 期 望 的 或 未 授权 
的 用 户 和 主机 访问 内 部 网 络 ,确保 内 部 网 正常 .安全 地 运行 。 

如 防火 墙 决定 了 哪些 内 部 服务 可 以 被 外 界 访问 ,外 界 的 哪些 人 可 以 访问 内 部 的 服务 ， 
以 及 哪些 外 部 服务 可 以 被 内 部 人 员 访 问 。 

局 根据 物理 特性 ,防火 墙 可 分 为 两 大 类 : 软件 防火 墙 和 硬件 防火 墙 。 从 结构 上 又 可 分 
为 单一 主机 防火 墙 . 路 由 集成 式 防火 墙 和 分 布 式 防火 墙 三 种 。 按 工作 位 置 可 分 为 边 
界 防 火 墙 \ 个 人 防火 墙 和 混合 防火 墙 。 按 防火 墙 性 能 可 分 为 百 兆 级 防火 墙 和 千 兆 级 
防火 墙 两 类 。 

局 防火 墙 技 术 有 两 种 : 数据 包 过 滤 技 术 和 代理 服务 。 

如 防火 墙 的 体系 结构 主要 有 三 种 : 双 宿 主机 防火 墙 结构 、 屏 蔽 主机 防火 墙 结 构 和 屏蔽 
子 网 防火 墙 结构 。 


随 着 计算 机 和 网 络 的 发 展 , 各 种 攻击 和 入 侵 手段 也 相继 出 现 了 。 特 别 是 在 Web 环境 
中 ,威胁 来 自 于 多 个 方面 ,从 端点 到 传输 到 边界 ,最 后 到 达 Web 服务 器 和 后 台数 据 库 , 这 一 
系列 的 数据 交换 都 可 能 会 引发 大 量 的 安全 问题 。 为 了 保护 计算 机 的 安全 ,人 们 开发 出 一 种 
能 阻止 计算 机 之 间 直 接 通 信 的 技术 一 一 "防火 墙 (FireWall) ”技术 。 

防火 墙 的 基本 功能 是 对 网 络 通信 进行 筛选 屏蔽 以 防止 未 授权 的 访问 进出 计算 机 网 络 ， 
简单 的 概括 就 是 ,对 网 络 进行 访问 控制 。 绝 大 部 分 的 防火 墙 都 是 放置 在 内 部 (可 信任 ) 网 络 
(Internal) 和 外 部 (不 可 信任 ) 网 络 (Internet) 之 间 ,通过 监测 .限制 .更 改 跨越 防火 墙 的 数据 
流 , 尽 可 能 地 对 外 部 不 可 信任 网 络 屏蔽 内 部 可 信任 网 络 的 信息 、 结 构 和 运行 状况 ,以 此 来 实 
现 对 内 部 可 信任 网 络 的 安全 保护 。 

防火 墙 对 组 织 机 构 、 企 业内 部 的 安全 策略 的 实施 等 都 具有 重要 的 意义 。 本 章 将 阑 述 防 
火 墙 的 一 些 概念 和 相关 技术 。 


9.1 防火 墙 概述 
9.1.1 防火 墙 的 基本 概念 


“防火 墙 ”一 词 源 自 于 早期 建筑 。 在 古代 ,构筑 和 使 用 木质 结构 房屋 的 时 候 为 防止 火灾 
的 发 生 和 蔓延 ,人 们 将 坚固 的 石 块 堆砌 在 房屋 周围 作为 屏障 ,这 种 防护 构筑 物 就 被 称 为 “ 防 


第 9 章 防 火 墙 219 


火 墙 "。 如 今 在 计算 机 网 络 中 ,沿用 了 古代 这 个 名 字 来 表示 实现 类 似 的 网 络 安全 功能 。 用 专 
业 术 语 来 说 ,防火 墙 是 一 种 位 于 两 个 或 多 个 网 络 间 并 实施 网 络 之 间 访 问 控制 的 组 件 集合 。 
对 于 普通 用 户 来 说 ,所 谓 “ 防 火 墙 ”, 指 的 就 是 一 种 被 放置 在 自己 的 计算 机 与 外 界 网 络 之 间 的 
防御 系统 ,从 网 络 发 往 计算 机 的 所 有 数据 都 要 经 过 它 的 判断 处 理 后 , 才 会 决定 能 不 能 把 这 些 
数据 交 给 计算 机 ,一 旦 发 现 有 害 数据 ,防火 墙 就 会 拦截 下 来 .实现 了 对 计算 机 的 保护 功能 。 

一 个 防火 墙 可 以 设置 在 PC 机 、 路 由 器 、 大 型 
主机 和 UNIX 工作 站 等 计算 机 上 , 它 可 以 决定 从 外 
部 网 能 访问 内 部 网 的 哪些 信息 和 服务 以 及 谁 能 访 
问 这 些 信 息 和 服务 ,从 而 达到 保护 企业 内 部 网 的 信 
息 资 源 的 目的 。 也 就 是 说 ,防火 墙 允许 可 信任 的 数 
据 通 过 ,拒绝 恶意 访问 ,保护 内 部 网 络 免 于 受到 外 
部 网 的 攻击 。 图 9. 1 是 一 个 防火 墙 的 示意 图 。 

防火 墙 是 一 种 综合 性 技术 ,并 不 仅仅 指 用 来 提供 一 个 网 络 安全 保障 的 主机 、 路 由 器 或 多 
机 系统 ,而 是 一 整套 保障 网 络 安 全 的 手段 。 防 火 墙 有 如 下 两 条 基本 的 规则 。 

@ 一 切 未 被 允许 的 就 是 禁止 的 。 基 于 该 规则 ,防火 墙 应 封锁 所 有 信息 流 ,然后 对 希望 
提供 的 服务 逐 项 开放 , 即 只 允许 符合 开放 规则 的 信息 进出 。 这 种 方法 非常 实用 ,可 以 造成 一 
种 十 分 安全 的 环境 ,因为 所 能 使 用 的 服务 范围 受到 了 严格 的 限制 ,只 有 特定 的 被 选中 的 服务 
才 被 允许 使 用 。 这 就 使 得 用 户 使 用 的 方便 性 受到 了 影响 。 

@) 一 切 未 被 禁止 的 就 是 允许 的 。 基 于 该 规则 ,防火 墙 逐 项 屏蔽 被 禁止 的 服务 ,而 转发 
所 有 其 他 信息 流 。 这 种 方法 可 以 提供 一 种 更 为 灵活 的 应 用 环境 ,可 为 用 户 提供 更 多 的 服务 。 
但 却 很 难 提 供 可 靠 的 安全 防护 ,特别 是 当 网 络 服务 日 益 增 多 或 受 保护 的 网 络 范围 增 大 时 。 

典型 的 防火 墙 具 有 以 下 三 个 方面 的 基本 特性 。 

(1) 内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数据 流 都 必须 经 过 防火 墙 。 

内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数据 流 都 必须 经 过 防火 墙 是 防火 墙 所 处 网 络 位 置 
特性 ,同时 也 是 一 个 前 提 。 因 为 只 有 当 防火 墙 是 内 、 外 部 网 络 之 间 通 信 的 唯一 通道 , 才 可 以 
全 面 ` 有 效 地 保护 内 部 网 络 不 受 侵害 。 根 据 美 国 国家 安全 局 制定 的 《信息 保障 技术 框架 》, 防 
火 墙 适 用 于 用 户 网 络 系统 的 边界 ,属于 用 户 网 络 边界 的 安全 保护 设备 。 所 谓 网 络 边界 即 是 
采用 不 同安 全 策略 的 两 个 网 络 连接 处 ,比如 用 户 网 络 和 因特网 之 间 连 接 、 和 其 他 业务 往来 单 
位 的 网 络 连接 、 用 户 内 部 网 络 不 同 部 门 之 间 的 连接 等 。 防 火 墙 的 目的 就 是 在 网 络 连 接 之 间 
建立 一 个 安全 控制 点 ,通过 人 允许、 拒绝 或 重新 定向 经 过 防火 墙 的 数据 流 , 实 现 对 进 .出 内 部 网 
络 的 服务 和 访问 的 审计 和 控制 。 从 图 9. 1 中 可 以 看 出 ,防火 墙 的 一 端 连接 内 部 的 局 域 网 ,而 
另 一 端 则 连接 着 因特网 ,所 有 的 内 、 外 部 网 络 之 间 的 通信 都 要 经 过 防火 墙 。 

(2) 只 有 符合 安全 策略 的 数据 流 才能 通过 防火 墙 。 

防火 墙 最 基本 的 功能 是 确保 网 络 流量 的 合法 性 ,并 在 此 前 提 下 将 网 络 的 流量 快速 地 从 
一 条 链 路 转发 到 另外 的 链 路 上 。 防 火 墙 将 网 络 上 的 流量 通过 相应 的 网 络 接口 接收 上 来 , 按 
照 OSI 协议 栈 的 七 层 结构 顺序 上 传 ,在 适当 的 协议 层 进行 访问 规则 和 安全 审查 ,然后 将 符 
合 通过 条 件 的 报 文 从 相应 的 网 络 接口 送出 ,而 对 于 那些 不 符合 通过 条 件 的 报 文 则 予以 阻 断 。 
因此 ,从 这 个 角度 上 来 说 ,防火 墙 是 一 个 类 似 于 桥接 或 路 由 器 的 、 多 端口 的 (网 络 接口 三 2) 
转发 设备 , 它 跨 接 于 多 个 分 离 的 物理 网 段 之 间 , 并 在 报 文 转 发 过 程 中 完成 对 报 文 的 审查 
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下 作 。 

(3) 防火 墙 自身 应 具有 非常 强 的 抗 攻 击 免 疫 力 。 

防火 墙 自身 应 具有 非常 强 的 抗 攻击 免疫 力 是 防火 墙 之 所 以 能 担当 组 织 或 企业 内 部 网 络 
安全 防护 重任 的 先决 条 件 。 防 火 墙 处 于 网 络 边缘 , 它 就 像 一 个 边界 卫士 一 样 ,每 时 每 刻 都 要 
面 对 黑 客 的 入侵, 这 样 就 要 求 防火 墙 自身 要 具有 非常 强 的 抗击 入侵 本 领 。 因 此 防火 墙 操作 
系统 本 身 是 关键 ,只 有 自身 具有 完整 信任 关系 的 操作 系统 才 可 以 谈论 系统 的 安全 性 。 其 次 
就 是 防火 墙 自身 具有 非常 低 的 服务 功能 ,除了 专门 的 防火 墙 衣 入 系统 外 ,再 没有 其 他 应 用 程 
序 在 防火 墙 上 运行 。 当 然 这 些 安全 性 也 只 能 说 是 相对 的 。 


9.1.2 防火 墙 的 作用 及 局 限 性 


防火 墙 能 有 效 地 防止 外 来 的 入侵 , 它 在 网 络 系统 中 的 作用 可 以 归纳 为 以 下 几 个 方面 。 

Q@ 集中 的 安全 管理 。 防 火 墙 允 许 网 络 管理 员 定 义 一 个 中 心 ( 阻 塞 点 ) 来 防止 非法 用 户 
(如 黑客 .网 络 破坏 者 等 ) 进 入 内 部 网 络 ,禁止 存在 不 安全 因素 的 访问 进出 网 络 , 并 抗击 来 自 
各 种 线路 的 攻击 。 在 防火 墙 定 义 的 安全 规则 可 以 运行 于 整个 内 部 网 络 系统 ,而 无 须 在 内 部 
网 的 每 台 机 器 上 分 别 设立 安全 策略 。 防 火 墙 可 以 定义 不 同 的 认证 方法 ,而 不 需要 在 每 台 机 
器 上 分 别 安装 特定 的 认证 软件 。 外 部 用 户 也 只 需要 经 过 一 次 认证 即 可 访问 内 部 网 。 因 此 防 
火 墙 技术 能 够 简化 网 络 的 安全 管理 ,提高 网 络 的 安全 性 。 

@ 安全 警报 。 通 过 防火 墙 可 以 方便 地 监视 网 络 的 安全 性 ,并 产生 报警 信号 。 网 络 管理 
员 必 须 审查 并 记录 所 有 通过 防火 墙 的 重要 信息 。 

@ 重新 部 署 网 络 地 址 转换 (Network Address Translator, NAT)。Internet 的 迅速 发 
展 使 得 有 效 的 未 被 申请 的 IP 地 址 越 来 越 少 ,这 意味 着 想 进 入 Internet 的 机 构 可 能 申请 不 到 
足够 的 IP 地 址 来 满足 内 部 网 络 用 户 的 需要 。 为 了 接 人 Internet, 可 以 通过 网 络 地 址 转换 
NAT 来 完成 内 部 私有 地 址 到 外 部 注册 地 址 的 上 映射。 防火 墙 是 部 署 NAT 的 理想 位 置 , 利 用 
NAT 技术 ,将 有 限 的 IP 地 址 动态 或 静态 地 与 内 部 的 IP 地 址 对 应 起 来 ,可 用 来 缓解 地 址 空 
间 短 缺 的 问题 ,并 可 隐藏 内 部 网 的 结构 。 

@ 审计 和 记录 网 络 的 访问 及 使 用 情况 。 由 于 所 有 的 访问 都 要 经 过 防火 墙 , 所 以 它 是 审 
计 和 记录 网 络 访问 及 使 用 情况 的 一 个 最 佳 地 点 。 比 如 网 络 管理 员 可 以 在 此 向 管理 部 门 提供 
Internet 连接 的 费用 情况 , 查 出 潜在 的 带宽 瓶颈 位 置 ,并 能 够 依据 本 机 构 的 核算 模式 提供 部 
门 级 的 计 费 等 。 

@ 向 外 发 布 信息 。 防 火 墙 除了 起 到 安全 屏障 作用 外 ,也 是 部 署 WWW 服务 器 和 FTP 
服务 器 的 理想 位 置 。 人 允许 Internet 访问 上 述 服 务 器 ,而 禁止 对 内 部 受 保护 的 其 他 系统 进行 
访问 。 

但 是 ,防火 墙 的 功能 也 有 局 限 性 ,主要 表现 在 以 下 几 个 方面 。 

@ 防火 墙 不 能 防范 不 经 由 防火 墙 的 攻击 和 威胁 。 例 如 ,如 果 允 许 从 受 保 护 网 内 部 不 受 
限制 的 向 外 拨号 ,一 些 用 户 可 以 形成 与 Internet 的 直接 的 连接 ,从 而 绕 过 防火 墙 ,造成 一 个 
潜在 的 后 门 攻击 渠道 。 

@ 不 能 防御 已 经 授权 的 访问 ,以 及 存在 于 网 络 内 部 系统 间 的 攻击 ,不 能 防御 合法 用 户 
恶意 的 攻击 以 及 社交 攻击 等 非 预期 的 威胁 。 比 如 A 是 也 公司 的 职员 ,那么 他 经 过 MIS 部 
门 的 授权 就 可 以 通过 防火 墙 来 访问 企业 内 部 资源 了 ,现在 他 因 一 些 原因 离职 ,在 人 事 部 门 未 
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通知 MIS 部 门 收回 对 A 的 访问 授权 期 间 ,A 仍 可 畅通 无 阻 的 进入 BB 公司 的 内 部 网 ,这 将 给 
A 提供 窍 取 公司 内 部 信息 的 可 乘 之 机 。 

@ 防火 墙 不 能 防止 感染 了 病毒 的 软件 或 文件 的 传输 。 只 能 在 每 台 主 机 上 装 反 病毒 
软件 。 

@ 防火 墙 不 能 防止 数据 驱动 式 攻击 。 当 有 些 表面 看 来 无 害 的 数据 被 邮寄 或 复制 到 
Internet 主机 上 并 被 执行 而 发 起 攻击 时 ,就 会 发 生 数据 驱动 攻击 。 

名 不 能 修复 脆弱 的 管理 措施 和 存在 问题 的 安全 策略 。 


9.1.3 防火 墙 的 分 类 


防火 墙 的 形式 多 种 多 样 ,有 的 取代 系统 上 已 经 装备 的 TCP/IP 协议 栈 , 有 的 在 已 有 的 协 
议 栈 上 建立 自己 的 软件 模块 ,有 的 干脆 就 是 独立 的 一 套 操作 系统 。 还 有 一 些 应 用 型 的 防火 
墙 只 对 特定 类 型 的 网 络 连 接 提供 保护 (比如 SMTP 或 者 HTTP 协议 等 )。 还 有 一 些 基于 硬 
件 的 防火 墙 产 品 其 实 应 该 归 人 安全 路 由 器 一 类 。 以 上 的 产品 都 可 以 叫做 防火 墙 ,因为 他 们 
的 工作 方式 都 是 一 样 的 : 即 分 析出 入 防火 墙 的 数据 包 ,决定 放行 还 是 把 他 们 丢弃 。 因 此 为 
防火 墙 分 类 的 方法 也 很 多 。 

(1) 根据 物理 特性 ,防火 墙 可 分 为 两 大 类 : 软件 防火 墙 和 硬件 防火 墙 。 

软件 防火 墙 是 一 种 安装 在 负责 内 外 网 络 转换 的 网 关 服 务 器 或 者 独立 的 个 人 计算 机 上 的 
特殊 程序 , 它 是 以 逻辑 形式 存在 的 ,防火 墙 程序 跟随 系统 启动 ,通过 运行 在 Ring0 级 别 的 特 
殊 驱 动 模块 把 防御 机 制 插入 系统 关于 网 络 的 处 理 部 分 和 网 络 接口 设备 驱动 之 间 ,形成 一 种 
逻辑 上 的 防御 体系 。 在 没有 软件 防火 墙 之 前 ,系统 和 网 络 接口 设备 之 间 的 通道 是 直接 的 ,网 
络 接口 设备 通过 网 络 驱动 程序 接口 (Network Driver Interface Specification,NDIS) 把 网 络 
上 传 来 的 各 种 报 文 都 忠实 的 交 给 系统 处 理 , 例 如 一 台 计 算 机 接收 到 请 求 列 出 机 器 上 所 有 共 
享 资源 的 数据 报 文 ,NDIS 直接 把 这 个 报 文 提 交 给 系统 ,系统 在 处 理 后 就 会 返回 相应 数据 ， 
在 某 些 情况 下 就 会 造成 信息 泄露 。 而 使 用 软件 防火 墙 后 ,尽管 NDIS 接收 到 仍然 的 是 原封 
不 动 的 数据 报 文 .但 是 在 提交 到 系统 的 通道 上 多 了 一 层 防 御 机 制 ,所 有 数据 报 文 都 要 经 过 这 
层 机 制 根 据 一 定 的 规则 判断 处 理 , 只 有 它 认 为 安全 的 数据 才能 到 达 系 统 , 其 他 数据 则 被 丢 
弃 。 因 为 有 规则 提 到 “ 列 出 共享 资源 的 行为 是 危险 的 ,因此 在 防火 墙 的 判断 下 ,这 个 报 文 会 
被 丢弃 ,这 样 一 来 ,系统 接收 不 到 报 文 , 则 认为 什么 事情 也 没 发 生 过 ,也 就 不 会 把 信息 泄露 出 
去 了 。 软 件 防 火 墙 工作 于 系统 接口 与 NDIS 之 间 , 用 于 检查 过 滤 由 NDIS 发 送 过 来 的 数据 ， 
在 无 需 改动 硬件 的 前 提 下 便 能 实现 一 定 强度 的 安全 保障 ,但 是 由 于 软件 防火 墙 自身 属于 运 
行 于 系统 上 的 程序 ,不 可 避免 的 需要 占用 一 部 分 CPU 资源 维持 工作 ,而 且 由 于 数据 判断 处 
理 需 要 一 定 的 时 间 ,在 一 些 数据 流量 大 的 网 络 里 ,软件 防火 墙 会 使 整个 系统 工作 效率 和 数据 
吞吐 速度 下 降 ,甚至 有 些 软件 防火 墙 会 存在 漏洞 .导致 有 害 数据 可 以 绕 过 它 的 防御 体系 ,给 
数据 安全 带 来 损失 ,因此 ,许多 企业 并 不 会 考虑 用 软件 防火 墙 方案 作为 公司 网 络 的 防御 措 
施 ,而 是 使 用 看 得 见 摸 得 着 的 硬件 防火 墙 。 

硬件 防火 墙 是 一 种 以 物理 形式 存在 的 专用 设备 ,通常 架设 于 两 个 网 络 的 连接 处 ,直接 从 
网 络 设备 上 检查 过 滤 有 害 的 数据 报 文 ,位 于 防火 墙 设备 后 端的 网 络 或 者 服务 器 接收 到 的 是 
经 过 防火 墙 处 理 的 相对 安全 的 数据 ,不 必 男 外 分 出 CPU 资源 去 进行 基于 软件 架构 的 NDIS 
数据 检测 ,可 以 大 大 提高 工作 效率 。 硬 件 防 火 墙 一 般 是 通过 网 线 连接 于 外 部 网 络 接口 与 内 
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部 服务 器 或 企业 网 络 之 间 的 设备 ,这 里 又 另外 派 分 出 两 种 结构 ,一 种 是 普通 硬件 级 别 防火 
墙 , 它 拥 有 标准 计算 机 的 硬件 平台 和 一 些 功能 经 过 简化 处 理 的 UNIX 系列 操作 系统 和 防火 
墙 软件 ,这 种 防火 墙 措施 相当 于 专门 拿 出 一 台 计 算 机 安装 了 软件 防火 墙 ,除了 不 需要 处 理 其 
他 事务 以 外 , 它 毕 竞 还 是 一 般 的 操作 系统 ,因此 有 可 能 会 存在 漏洞 和 不 稳定 因素 ,安全 性 并 
不 能 做 到 最 好 ; 另 一 种 是 所 谓 的 “芯片 ”级 硬件 防火 墙 , 它 采 用 专门 设计 的 硬件 平台 ,在 上 面 
搭建 的 软件 也 是 专门 开发 的 ,并 非 流行 的 操作 系统 ,因而 可 以 达到 较 好 的 安全 性 能 保障 。 但 
无 论 是 哪 种 硬件 防火 墙 ,管理 员 都 可 以 通过 计算 机 连接 上 去 设置 工作 参数 。 由 于 硬件 防火 
墙 的 主要 作用 是 把 传人 的 数据 报 文 进行 过 滤 处 理 后 转发 到 位 于 防火 墙 后 面 的 网 络 中 ,因此 
它 自 身 的 硬件 规格 也 是 分 档次 的 ,尽管 硬件 防火 墙 已 经 足以 实现 比较 高 的 信息 处 理 效率 ,但 
是 在 一 些 对 数据 吞吐 量 要 求 很 高 的 网 络 里 ,档次 低 的 防火 墙 仍然 会 形成 瓶颈 ,所 以 对 于 一 些 
大 企业 而 言 ,芯片 级 的 硬件 防火 墙 才 是 他 们 的 首选 。 但 硬件 防火 墙 最 显著 的 缺点 是 它 太 贵 
了 ! 对 于 一 般 家 庭 用 户 而 言 , 自 己 的 数据 和 系统 安全 也 无 需 专门 用 到 一 个 硬件 设备 去 保护 ， 
因而 个 人 用 户 只 要 安装 一 种 好 用 的 软件 防火 墙 就 够 了 。 

(2) 从 结构 上 又 可 分 为 单一 主机 防火 墙 路 由 集成 式 防火 墙 和 分 布 式 防火 墙 三 种 。 

“单一 主机 防火 墙 ”就 是 我 们 最 常见 的 一 台 硬 件 防火 墙 , 它 独立 于 其 他 网 络 设 备 , 位 于 网 
络 边界 。 这 种 防火 墙 其 实 与 一 台 计 算 机 结构 差不多 ,同样 包括 CPU 内存、 硬盘 等 基本 组 
件 ,当然 主板 更 是 不 能 少 了 , 且 主 板 上 也 有 南北 桥 芯片 。 它 与 一 般 计 算 机 最 主要 的 区 别 就 
是 一 般 这 种 防火 墙 都 集成 了 两 个 以 上 的 以 太 网 卡 , 因 为 它 需 要 连接 一 个 以 上 的 内 、 外 部 网 
络 。 其 中 的 硬盘 就 是 用 来 存储 防火 墙 所 用 的 基本 程序 ,如 包 过 滤 程 序 和 代理 服务 器 程序 等 ， 
有 的 防火 墙 还 把 日 志 记录 也 记录 在 此 硬盘 上 。 虽 然 如 此 ,因为 它 的 工作 性 质 ,决定 了 它 要 具 
备 非常 高 的 稳定 性 、 实 用 性 ,具备 非常 高 的 系统 吞吐 性 能 。 正 因 如 此 ,看 似 与 PC 机 差不多 
的 配置 ,价格 相差 甚 远 。 

一 些 厂商 为 了 节约 成 本 ,直接 把 防火 墙 功能 府 进 路 由 设备 里 ,就 形成 了 路 由 集成 式 防 
火 墙 。 

随 着 人 们 对 网 络 安全 防护 要 求 的 提高 ,传统 防火 墙 明显 感觉 到 力不从心 ,因为 给 网 络 带 
来 安全 威胁 的 不 仅 是 外 部 网 络 ,更 多 的 是 来 自 内 部 网 络 ,传统 防火 墙 无 法 对 内 部 网 络 实现 有 
效 地 保护 ,除非 对 每 一 台 主 机 都 安装 防火 墙 。 基 于 此 ,一 种 新 型 的 防火 墙 ,分 布 式 防火 墙 产 
生 了 。 分 布 式 防火 墙 再 也 不 是 只 位 于 网 络 边界 ,而 是 渗透 于 网 络 的 每 一 台 主 机 ,对 整个 内 部 
网 络 的 主机 实施 保护 。 当 然 不 是 为 每 台 主 机 安装 防火 墙 , 而 是 把 防火 墙 的 安全 防护 系统 延 
伸 到 网 络 中 各 台 主 机 。 一 方面 有 效 地 保证 了 用 户 的 投资 不 会 很 高 , 另 一 方面 给 网 络 所 带 来 
的 安全 防护 是 非常 全 面 的 。 分 布 式 防火 墙 已 不 再 是 一 个 独立 的 硬件 实体 ,而 是 由 多 个 软 、 硬 
件 组 成 的 系统 ,在 网 络 服务 器 中 ,通常 会 安装 一 个 用 于 防火 墙 系统 管理 软件 ,在 服务 器 及 各 
主机 上 安装 有 集成 网 卡 功能 的 PCI 防火 墙 卡 ,这 样 一 块 防 火 墙 卡 同 时 兼 有 网 卡 和 防火 墙 的 
双重 功能 。 这 样 一 个 防火 墙 系统 就 可 以 彻底 保护 内 部 网 络 。 各 主机 把 任何 其 他 主机 发 送 的 
通信 连接 都 视 为 “不 可 信 ” 的 ,都 需要 严格 过 滤 。 而 不 是 传统 防火 墙 那样 , 仅 对 外 部 网 络 发 出 
的 通信 请 求 “不 信任 ”。 

(3) 按 工作 位 置 可 分 为 边界 防火 墙 . 个 人 防火 墙 和 混合 防火 墙 。 

所 谓 “ 边 界 ”, 就 是 指 两 个 网 络 之 间 的 接口 处 ,工作 于 此 的 防火 墙 就 被 称 为 “边界 防火 
墙 "。 这 类 防火 墙 一 般 都 是 硬件 类 型 的 ,价格 较 贵 ,性 能 较 好 。 
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与 之 相对 的 有 “个 人 防火 墙 ”, 它 们 通常 是 基于 软件 的 防火 墙 ,只 处 理 一 台 计 算 机 的 数据 
而 不 是 整个 网 络 的 数据 ,现在 一 般 家 庭 用 户 使 用 的 软件 防火 墙 就 是 个 人 防火 墙 。 

混合 防火 墙 是 一 整套 防火 墙 系统 ,由 若干 个 软 、 硬 件 组 件 组 成 ,分 布 于 内 、 外 部 网 络 边界 
和 内 部 各 主机 之 间 , 既 对 内 、 外 部 网 络 之 间 通 信 进 行 过 滤 , 又 对 网 络 内 部 各 主机 间 的 通信 进 
行 过 滤 。 它 属于 最 新 的 防火 墙 技 术 之 一 ,性 能 最 好 ,价格 也 最 贵 。 

(4) 按 防火 墙 性 能 可 分 为 百 兆 级 防火 墙 和 千 兆 级 防火 墙 两 类 。 

因为 防火 墙 通常 位 于 网 络 边界 ,所 以 不 可 能 只 是 十 兆 级 的 。 这 主要 是 指 防火 墙 的 通道 
带宽 (Bandwidth) ,或 者 说 是 吞吐 率 。 当 然 通 道 带宽 越 宽 , 性 能 越 高 ,这 样 的 防火 墙 因 包 过 
滤 或 应 用 代理 所 产生 的 延 时 也 越 小 ,对 整个 网 络 通信 性 能 的 影响 也 就 越 小 。 

(5) 从 实现 技术 上 分 ,防火 墙 可 分 为 两 大 类 技术 : 数据 包 过 滤 技 术 和 代理 服务 。 

数据 包 过 滤 (Packet Filtering) 技 术 是 在 网 络 层 对 数据 包 进 行 选择 ,选择 的 依据 是 系统 
内 设置 的 过 滤 逻 辑 ,被 称 为 访问 控制 表 (Access Control Table)。 通 过 检查 数据 流 中 每 个 数 
据 包 的 源 地 址 .目的 地 址 .所 用 的 端口 号 .协议 状态 等 因素 ,或 它们 的 组 合 来 确定 是 否 允 许 该 
数据 包 通 过 。 数 据 包 过 滤 防 火 墙 逻 辑 简 单 , 价 格 便宜 ,易于 安装 和 使 用 ,网 络 性 能 和 透明 性 
好 , 它 通常 安装 在 路 由 器 上 。 路 由 器 是 内 部 网 络 与 Internet 连接 必 不 可 少 的 设备 ,因此 在 原 
有 网 络 上 增加 这 样 的 防火 墙 几乎 不 需要 任何 额外 的 费用 。 数 据 包 过 滤 防 火 墙 有 以 下 主要 

@ 定义 复杂 ,容易 出 现 因 配置 不 当 带 来 的 问题 ,非法 访问 一 旦 突破 防火 墙 , 即 可 对 主机 
上 的 软件 和 配置 漏洞 进行 攻击 。 

@ 数据 包 的 源 地 址 .目的 地 址 以 及 IP 的 端口 号 都 在 数据 包 的 头 部 ,很 有 可 能 被 窃听 或 


@ 人 允许 数据 包 直 接 通过 ,容易 造成 数据 驱动 式 攻击 的 潜在 危险 。 

所 谓 代理 服务 ,顾名思义 就 是 代表 你 的 网 络 和 外 界 打交道 , 它 通过 代理 服务 器 实现 。 代 
理 服务 器 不 允许 存在 任何 网 络 内 外 的 直接 连接 ,代理 服务 器 重 写 数据 包 而 不 是 简单 地 将 其 
转发 了 事 。 给 人 的 感觉 就 是 网 络 内 部 的 主机 都 站 在 了 网 络 的 边缘 ,但 实际 上 他 们 都 躲 在 代 
理 的 后 面 ,露面 的 只 是 代理 。 当 代理 服务 器 得 到 一 个 客户 的 连接 意图 时 ,它们 将 核实 客户 请 
求 ,并 经 过 特定 的 安全 化 的 代理 应 用 程序 处 理 连接 请 求 ,将 处 理 后 的 请 求 传递 到 真实 的 服务 
器 上 ,然后 接受 服务 器 应 答 ,并 做 进一步 处 理 后 ,将 答复 交 给 发 出 请 求 的 最 终 客户 。 代 理 服 
务 器 在 外 部 网 络 向 内 部 网 络 申请 服务 时 发 挥 了 中 间 转 接 的 作用 。 例 如 一 台 WWW 代理 服 
务 器 ,所 有 的 请 求 都 间接 地 由 代理 服务 器 处 理 , 这 台 服 务 器 不 同 于 普通 的 代理 服务 器 , 它 不 
会 直接 地 处 理 请 求 , 它 会 验证 请 求 发 出 者 的 身份 ,请求 的 目的 地 和 请 求 内 容 。 如 果 一 切 符合 
要 求 的 话 , 这 个 请 求 会 被 批准 送 到 真正 的 WWW 服务 器 上 。 当 真正 的 WWW 服务 器 处 理 
完 这 个 请 求 后 并 不 会 直接 把 结果 发 送 给 请 求 者 , 它 会 把 结果 送 到 代理 服务 器 ,代理 服务 器 会 
按照 事先 的 规定 检查 这 个 结果 是 否 违反 了 安全 规定 , 当 这 一 切 都 通过 后 ,返回 结果 才 会 真正 
地 送 到 请 求 者 的 手 里 。 代 理 型 防火 墙 的 最 突出 的 优点 就 是 安全 。 由 于 每 一 个 内 外 网 络 之 间 
的 连接 都 要 通过 代理 (Proxy) 的 介入 和 转换 ,通过 专门 为 特定 的 服务 如 HTTP 编写 的 安全 
化 的 应 用 程序 进行 处 理 , 然 后 由 防火 墙 本 身 提交 请 求 和 应 答 , 没 有 给 内 外 网 络 的 计算 机 以 任 
何 直接 会 话 的 机 会 ,从 而 避免 了 入 侵 者 使 用 数据 驱动 类 型 的 攻击 方式 人 侵 内 部 网 。 包 过 滤 
类 型 的 防火 墙 是 很 难 彻底 避免 这 一 漏洞 的 。 就 像 你 要 向 一 个 陌生 的 重要 人 物 递 交 一 份 声明 
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一 样 , 如 果 你 先 将 这 份 声明 交 给 你 的 律师 ,然后 律师 就 会 审查 你 的 声明 ,确认 没有 什么 负面 
的 影响 后 才 由 他 交 给 那个 陌生 人 。 在 此 期 间 , 陌 生 人 对 你 的 存在 一 无 所 知 , 如 果 要 对 你 进行 
侵犯 ,他 面 对 的 将 是 你 的 律师 ,而 你 的 律师 当然 比 你 更 加 清楚 该 如 何 对 付 这 种 人 。 代 理 服 务 
也 存在 一 些 不 足 之 处 ,首先 因为 它 不 允许 用 户 直接 访问 网 络 , 会 使 访问 速度 变 慢 ; 而 且 由 于 
需要 对 每 一 个 特定 的 Internet 服务 器 安装 相应 的 代理 服务 软件 ,用 户 不 能 使 用 未 被 服务 器 
支持 的 服务 ,对 每 一 类 服务 要 使 用 特殊 的 客户 端 软件 ; 更 不 幸 的 是 ,并 不 是 所 有 的 Internet 
应 用 软件 都 可 以 使 用 代理 服务 。 

综 上 所 述 , 数 据 包 过 滤 和 代理 服务 器 有 一 个 共同 的 特点 ,就 是 它们 仅仅 依靠 特定 的 逻辑 
判定 是 否 允 许 数据 包 通过 。 一 旦 满足 逻辑 , 则 防火 墙 内 外 的 计算 机 系统 建立 直接 联系 ,防火 
墙 外 部 的 用 户 便 有 可 能 直接 了 解 防 火 墙 内 部 的 网 络 结构 和 运行 状态 ,这 有 利于 实施 非法 访 
问 和 攻击 。 男 外 ,它们 之 间 又 各 有 所 长 ,具体 使 用 哪 一 种 或 是 否 混合 使 用 ,要 看 具体 需要 。 
一 般 情况 下 ,在 使 用 防火 墙 产品 时 ,对 使 用 较为 频繁 ,信息 可 共享 性 高 的 服务 采用 应 用 层 代 
理 , 例 如 WWW 服务 ; 对 于 实时 性 要 求 高 .使 用 不 频繁 且 用 户 自 定义 的 服务 可 以 采用 数据 
包 过 滤 机 制 ,如 TELNET 服务 。 我 们 将 在 下 一 节 更 为 详细 地 介绍 这 几 种 防火 墙 技 术 。 


9.2 ”防火墙 技术 


传统 意义 上 的 防火 墙 技 术 分 为 两 大 类 , 即 数 据 包 过 滤 技 术 和 代理 服务 。 其 中 ,数据 包 过 
滤 可 分 为 静态 包 过 滤 和 动态 包 过 滤 两 种 。 代 理 服务 也 可 分 为 应 用 级 网 关 和 电路 级 网 关 两 大 
类 。 无论 一 个 防火 墙 的 实现 过 程 多 么 复杂 ,归根 结 底 都 是 在 这 几 种 技术 的 基础 上 进行 功能 
扩展 的 。 


9.2.1 数据 包 过 滤 


在 大 多 数 情况 下 ,数据 包 过 滤 是 用 设置 了 过 滤 规 则 的 路 由 器 来 实现 的 。 当 一 个 数据 包 
到 达 了 一 个 包 过 滤 路 由 器 ,该 路 由 器 便 从 包 首 部 截取 特定 信息 ,然后 依据 过 滤 规 则 判定 该 包 
是 否 可 通过 或 丢弃 。 一 般 从 包 首 部 截取 的 信息 有 源 IP 地 址 .目的 IP 地址、TCP/UDP 源 端 
口号 TCP/UDP 目的 端口 号 .ICMP 信息 类 型 和 封装 协议 信息 (TCP、UDP、ICMP 或 IP 隧 
道 ) 等 。 

包 过 滤 规 则 是 基于 网 络 安全 策略 ( 即 凡是 未 被 明确 许可 的 就 是 禁止 的 或 凡是 未 被 明确 
禁止 的 就 是 许可 的 ) 的 。 包 过 滤 规 则 是 在 考虑 了 外 部 攻击 以 及 服务 级 别 限制 和 收发 双方 的 
通信 级 别 限制 等 因素 后 制定 的 。 其 工作 示意 图 如 图 9. 2 所 示 。 包 过 滤 类 型 的 防火 墙 要 遵循 
的 一 条 基本 原则 是 “最 小 特权 原则 ”, 即 明确 允许 那些 管理 员 希 望 通过 的 数据 包 , 禁 止 其 他 的 
数据 包 。 

包 过 滤 又 可 分 为 静态 包 过 滤 和 动态 包 过 滤 两 种 。 

静态 包 过 滤 这 种 类 型 的 防火 墙根 据 定义 好 的 过 滤 规 则 审查 每 个 数据 包 , 以 便 确 定 其 是 
否 与 某 一 条 包 过 滤 规 则 匹配 。 过 滤 规则 基于 数据 包 的 报头 信息 进行 制定 。 报 头 信 息 中 包括 
IP 源 地 址 IP 目标 地 址 ,传输 协议 (TCP、UDP、ICMP 等 )、TCP/UDP 目标 端口 和 ICMP 消 
息 类 型 等 。 由 于 大 多 数 服务 使 用 熟知 端口 号 ,因此 可 以 采用 在 过 滤器 中 允许 或 拒绝 相关 端 
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内 部 网 络 


9.2 数据 包 过 滤 


口 信息 的 办 法 来 过 滤 。 例 如 ,FTP 程序 在 连接 期 间 使 用 两 对 端口 号 (不 过 一 般 的 Internet 
服务 对 所 有 的 通信 都 只 使 用 一 对 端口 号 ) ,第 一 对 端口 号 用 于 FTP 的 “命令 通道 ”提供 登录 
和 执行 命令 的 通信 链 路 ,而 另 一 对 端口 号 则 用 于 FTP 的 “数据 通道 提供 客户 机 和 服务 器 之 
间 的 文件 传送 。 在 通常 的 FTP 会 话 过 程 中 ,客户 机 首先 向 服务 器 的 端口 21( 命 令 通 道 ) 发 
送 一 个 TCP 连接 请 求 , 然 后 执行 LOGIN 、DIR 等 各 种 命令 。 一 旦 用 户 请 求 服务 器 发 送 数 
据 ,FTP 服务 器 就 用 其 20 端口 (数据 通道 ) 向 客户 的 数据 端口 发 起 连接 。FTP 服务 器 监听 
来 自 TCP 端口 号 21 的 连接 请 求 , 且 与 处 于 非 被 动 模式 的 客户 用 端口 20 进行 出 网 数据 连 
接 。 因 此 ,如 果 人 允许 FTP 连接 通过 过 滤器 到 达 内 部 网 , 则 意味 着 允许 所 有 在 首部 带 有 20 和 
21 号 端口 信息 的 包 通 过 。 另 一 方面 .比如 NFS, 它 要 用 到 RPC( 基 于 端口 动态 分 配 的 协议 ) 
并 且 每 次 连接 使 用 不 同 的 端口 号 。 人 允许 这 些 服务 便 会 引起 安全 问题 。 有 些 黑客 的 攻击 可 用 
一 些 高 级 过 滤 规 则 ,如 检查 IP 数据 报 的 可 选项 、 片 偏 移 等 方法 实现 。 静 态 包 过 滤 的 明显 缺 
陷 是 ,为 了 实现 期 望 的 通信 . 它 必须 保持 一 些 端口 永久 开放 ,这 就 为 潜在 的 攻击 提供 了 机 会 。 

动态 包 过 滤 采 用 动态 设置 包 过 滤 规 则 的 方法 ,避免 了 静态 包 过 滤 所 具有 的 问题 。 这 种 
技术 后 来 发 展 成 为 所 谓 包 状 态 监测 (Stateful Inspection) 技 术 。 采 用 这 种 技术 的 防火 墙 对 
通过 其 建立 的 每 一 个 连接 都 进行 跟踪 ,并 且 根 据 需要 可 动态 地 在 过 滤 规 则 中 增加 或 更 改 。 
状态 监视 器 作为 防火 墙 技术 其 安全 特性 最 佳 , 它 采 用 了 一 个 在 网 关上 执行 网 络 安全 策略 的 
软件 引擎 , 称 之 为 检测 模块 。 检 测 模块 在 不 影响 网 络 正常 工作 的 前 提 下 ,采用 抽取 相关 数据 
的 方法 对 网 络 通信 的 各 层 实施 监测 ,抽取 部 分 数据 , 即 状态 信息 ,并 动态 地 保存 起 来 作为 以 
后 制定 安全 决策 的 参考 。 检 测 模 块 支持 多 种 协议 和 应 用 程序 ,并 可 以 很 容易 地 实现 应 用 和 
服务 的 扩充 。 与 其 他 安全 方案 不 同 , 当 用 户 访问 到 达 网 关 的 操作 系统 前 ,状态 监视 器 要 抽取 
有 关 数 据 进 行 分 析 ,结合 网 络 配置 和 安全 规定 作出 接纳 拒绝, 鉴定 或 给 该 通信 加 密 等 决定 。 
一 旦 某 个 访问 违反 安全 规定 ,安全 报警 器 就 会 拒绝 该 访问 ,并 作 下 记录 向 系统 管理 器 报告 网 
络 状 态 。 状 态 监视 器 的 缺点 是 配置 非常 复杂 ,而 且 会 降低 网 络 的 速度 , 它 也 允许 外 部 客户 和 
内 部 主机 的 直接 连接 ,不 提供 用 户 的 鉴别 机 制 。 

包 过 滤 规 则 有 时 会 非常 复杂 。 特 别 是 要 对 已 有 规则 设置 一 些 例外 的 话 , 那 这 些 规则 就 
复杂 了 。 尽 管 可 采用 一 些 测试 程序 来 检验 ,但 仍然 可 能 留 下 安全 漏洞 。 包 过 滤 并 不 能 对 网 
络 提供 绝对 安全 的 保护 。 还 有 , 包 过 滤 可 以 限制 命令 类 的 信息 通过 防火 墙 .但 若 要 对 传输 的 
数据 进行 过 滤 是 不 可 能 的 ,因为 这 必须 要 理解 特定 服务 所 传输 的 内 容 。 为 此 目的 ,需要 提供 
应 用 级 的 控制 。 
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9.2.2 应 用 级 网 关 


应 用 级 网 关 也 常 称 为 代理 服务 器 。 应 用 级 网 关 提 供 两 个 网 络 间 传 输 的 高 水 平 的 控制 ， 
即 能 进行 特定 服务 内 容 的 监控 和 提供 基于 网 络 安全 策略 的 过 滤 。 因 此 ,对 任何 所 需 的 应 用 ， 
可 在 网 关上 安装 相应 的 代理 程序 来 管理 ,让 特定 的 服务 数据 通过 网 关 。 应 用 级 网 关 的 结构 
如 图 9. 3 所 示 。 


应 用 级 网 关 
客户 机 服务 器 代理 | 一 =| 客户 代理 服务 器 
服务 器 客户 代理 | 一 | 服务 器 代理 客户 机 


安全 网 络 不 安全 网 络 


9.3 应 用 级 网 关 


应 用 代理 服务 器 可 以 在 网 络 应 用 层 提供 授权 检查 及 代理 服务 。 当 外 部 某 台 主 机 试图 访 
问 ( 如 Telnet) 受 保护 网 时 , 它 必 须 先 在 防火 墙 上 经 过 身份 认证 。 通 过 身份 认证 后 ,防火 墙 运 
行 一 个 专门 为 Telnet 设计 的 程序 ,把 外 部 主机 与 内 部 主机 连接 。 在 这 个 过 程 中 ,防火 墙 可 
以 限制 用 户 访问 的 主机 、 访 问 的 时 间 及 访问 的 方式 。 同 样 , 受 保护 网 络 内 部 用 户 访问 外 部 网 
时 也 需 先 登 录 到 防火 墙 上 ,通过 验证 后 才 可 使 用 Telnet 或 FTP 等 有 效 命令 。 

一 个 代理 服务 器 对 于 客户 来 说 ,起 到 一 个 服务 器 的 作用 ,但 对 于 目的 服务 器 来 说 , 它 又 
是 一 个 客户 , 它 在 客户 和 目的 服务 器 之 间 建 立 了 一 个 虚拟 连接 。 尽 管 从 客户 方 看 来 ,代理 服 
务 器 似乎 是 透明 的 ,但 代理 服务 器 能 在 客户 的 数据 传 到 服务 器 之 前 对 任何 特定 类 型 的 数据 
进行 监测 和 过 滤 。 例 如 ,一 个 FTP 服务 器 允许 向 外 部 网 用 户 提供 服务 ,为 了 保护 服务 器 免 
受 任 何 可 能 攻击 ,防火墙 中 的 FTP 代理 可 配置 为 拒绝 PUT 和 MPUT 命令 。 

一 个 代理 服务 器 也 是 一 个 针对 特定 服务 的 中 继 服务 器 , 它 运 行 在 主机 上 ,连接 着 安全 和 
非 安全 网 络 ,在 应 用 层 上 而 不 是 IP 层 上 控制 数据 的 交换 。 这 样 ,就 使 得 凡是 代理 服务 器 能 
处 理 的 应 用 层 协 议 ,都 能 在 安全 和 非 安 全 网 络 之 间 禁 止 路 由 的 情况 下 ,仍然 能 经 由 代理 服务 
取得 中 继 完成 数据 的 交换 。 图 9.4 是 一 个 FTP 代理 服务 器 的 示意 图 。 

为 了 让 任何 客户 都 能 访问 代理 服务 器 ,客户 端 和 服务 器 端 软件 必须 要 做 相应 修改 以 支 
持 代 理 连 接 。 在 图 9.4 中 ,FTP 客户 端 首先 要 通过 代理 服务 器 对 它 的 认证 ,然后 ,FTP 会 话 
才 在 代理 服务 器 的 约束 下 开始 进行 。 大 多 数 代 理 服务 器 采用 更 复杂 的 认证 方法 ,如 安全 ID 
卡 , 这 种 机 制 每 次 产生 一 个 不 重复 的 唯一 的 密 钥 。 

因为 代理 服务 器 对 IP 数据 包 的 所 有 数据 都 进行 扫描 ,所 以 与 IP 数据 包 过 滤 相 比 , 它 可 
以 具有 更 多 更 好 的 登记 日志、 统计 、 分 析 和 报告 功能 。 例 如 ,HTTP 代理 能 记录 用 户 所 访 
问 的 URL。 应 用 级 代理 的 另 一 个 特点 是 能 实行 更 强 的 用 户 身份 认证 。 例 如 , 当 用 户 从 非 安 
全 网 络 使 用 FTP 和 Telnet 服务 时 ,代理 服务 器 可 对 这 些 用 户 进行 强制 性 的 身份 认证 。 应 
用 网 关 代理 既 可 以 隐藏 内 部 IP 地 址 ,也 可 以 给 单个 用 户 授权 ,即使 攻击 者 盗用 了 一 个 合 
的 IP 地 址 ,他 也 通 不 过 严格 的 身份 认证 。 因 此 应 用 级 网 关 比 报 文 过 滤 具 有 更 高 的 安全 性 。 

应 用 级 网 关 的 不 足 之 处 在 于 ,这 种 代理 技术 需要 为 每 个 应 用 网 关 写 专门 的 程序 。 另 外 ， 
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9.4 FTP 代理 服务 器 


为 了 通过 代理 服务 器 实现 连接 ,客户 端 软件 得 做 一 些 修 改 以 支持 代理 服务 ,否则 就 要 由 用 户 
的 操作 来 蔡 代 。 例 如 , 若 要 连接 到 Telnet 服务 器 ,用 户 通常 要 先 通过 代理 服务 器 的 身份 认 
证 ,然后 再 通过 目的 Telnet 服务 器 的 认证 。 这 种 认证 使 得 应 用 网 关 不 透明 ,用 户 每 次 连接 
都 要 受到 “盘问 ”, 这 给 用 户 带 来 许多 不 便 。 不 过 一 个 修改 好 了 的 Telnet 客户 端 软 件 能 让 代 
理 服 务 器 对 用 户 透 明 , 用 户 只 需 在 Telnet 命令 行 里 指定 目的 服务 器 而 不 需 指 定 代 理 服 
务 器 。 


9.2.3 电路 级 网 关 


电路 级 网 关 是 一 个 通用 代理 服务 器 ,工作 在 TCP/IP 协议 的 TCP 层 , 仅 仅 提 供 TCP 连 
接 的 转发 而 不 提供 任何 其 他 的 报 文 处 理 和 过 滤 ( 如 图 9. 5 所 示 )。 Telnet 的 连接 中 ， 
电路 层 网 关 简 单 地 进行 了 中 继 ,并 不 做 任何 审查 、 过 滤 或 协议 管理 。 它 只 在 内 部 连接 和 外 部 


连接 之 间 来 回复 制 字 节 ,但 隐藏 受 保护 网 i 
络 的 有 关 信 息 , 所 以 它 实际 上 是 一 个 透明 1 
网 关 更 ect 


有 些 电 路 级 网 关 还 能 转发 UDP 报 文 。 
电路 级 网 关 可 以 说 是 一 种 特殊 类 型 的 应 用 
级 网 关 。 因 为 应 用 级 网 关 能 配置 成 一 旦 用 
户 身 份 认 证 成 功 , 便 允 许 所 有 信息 通过 ,就 
如 同 电 路 级 网 关 一 样 。 图 9.5 电路 级 网 关 

电路 级 网 关 有 时 也 能 处 理 和 人 网 的 UDP 或 TCP 连接 。 但 是 ,处 于 安全 网 络 内 的 客户 
端 ,必须 要 预先 通知 网 关 , 将 有 这 样 的 包 要 到 来 。 

一 个 熟知 的 电路 级 网 关 的 例子 是 SOCKS。 由 于 SOCKS 不 对 通过 的 数据 流 作 监测 和 
过 滤 , 所 以 可 能 出 现 安全 问题 。 要 最 小 化 安全 问题 ,就 要 使 用 外 部 网 络 中 的 可 信任 服务 和 
资源 。 

电路 层 网 关 常 用 于 对 外 连接 ,此 时 假设 网 络 管理 员 对 其 内 部 用 户 是 信任 的 。 它 的 优点 


“服务 器 
不 安全 网 络 


228 信息 安全 原理 与 技术 


是 主机 可 以 被 设置 成 混合 网 关 , 对 于 内 连接 它 支 持 应 用 层 或 代理 服务 ,而 对 于 外 连接 支持 电 
路 层 功 能 。 这 样 ,使 得 防火 墙 系统 对 于 要 访问 Internet 服务 的 内 部 用 户 来 说 使 用 起 来 很 方 
便 , 同 时 又 能 提供 保护 内 部 网 络 免 于 外 部 攻击 。 


9.3 防火墙 的 体系 结构 


防火 墙 的 体系 结构 主要 有 三 种 : 双 宿 主机 防火 墙 结构 .屏蔽 主机 防火 墙 结构 和 屏蔽 子 
网 防火 墙 结构 。 


9.3.1 双 宿 主机 防火 墙 


双 宿 主机 (Dual-Homed Host) 防 火 墙 也 叫 双 穴 主 机 网 关 , 是 用 一 台 装 有 两 块 网 卡 ( 故 称 
双 宿 ) 的 堡垒 主机 做 防火 墙 。 所 谓 堡 又 主机 ,是 一 种 配置 了 安全 防范 措施 的 网 络 计算 机 , 堡 
全 主机 为 网 络 之 间 的 通信 提供 了 一 个 阻塞 点 ,如 果 没 有 堡垒 主机 ,网 络 之 间 就 不 能 相互 访问 
( 故 起 到 了 堡垒 的 作用 ) 。 堡 又 主机 上 的 两 块 网 卡 各 自 与 受 保 护 网 和 外 部 网 相连 ,从 一 个 网 
络 到 另 一 个 网 络 发 送 的 IP 数据 包 必 须 经 过 双 宿 主机 的 检查 。 堡 又 主机 上 运行 着 防火 墙 软 
件 , 可 以 转发 应 用 程序 .提供 服务 等 。 堡 又 主机 可 以 采用 数据 包 过 滤 技术 ,也 可 以 采用 代理 
服务 技术 。 双 宿主 机 至 少 有 两 个 IP 地 址 。 在 这 种 防火 墙 里 ,IP 转发 是 禁止 的 , 即 在 两 个 网 
络 接口 中 的 IP 通信 是 断 开 的 (如 图 9.6 所 示 ) 。 


| rf 
E El 工作 站 
堡 拿 主机 工作 站 


由 服务 器 
内 部 网 络 


9.6 双 宿 网 关 防 火 墙 


双 宿 主机 防火 墙 实施 的 安全 策略 是 任何 没有 特别 允许 的 传输 都 是 禁止 的 。 因 此 双 宿 主 
机 防火 墙 肯定 能 将 任何 来 自 未 知 服务 的 攻击 堵 住 。 

双 宿 主机 防火 墙 体系 结构 的 主要 优点 是 网 络 结构 比较 简单 ,而 且 由 于 内 、 外 部 网 络 之 间 
没有 直接 的 数据 交互 ,因而 较为 安全 。 

双 宿 主机 防火 墙 体 系 结构 的 主要 弱点 是 一 旦 黑客 侵入 堡垒 主机 并 使 其 只 具有 路 由 功 
能 ,任何 网 上 用 户 均 可 以 随便 访问 内 部 网 络 了 。 


9.3.2 屏蔽 主机 防火 墙 


如 果 一 个 信息 服务 器 (如 Web 或 FTP 服务器) 不仅 需要 为 内 部 也 要 为 外 部 的 用 户 提供 
服务 的 话 ,那么 它 可 以 安装 在 受 保护 的 网 络 里 面 ,或 安装 在 防火 墙 和 路 由 器 之 间 。 当 信息 服 
务 器 安装 在 防火 墙 和 路 由 器 之 间 时 ,防火墙 必须 有 相应 的 代理 以 使 安全 网 络 里 面 的 用 户 能 
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访问 该 信息 服务 器 (因为 这 时 信息 服务 器 是 在 防火 墙 外 面 ), 同 时 为 了 安全 ,路 由 器 也 要 进行 
包 过 滤 的 配置 ,这 种 类 型 的 防火 墙 就 叫做 屏蔽 主机 防火 墙 。 

屏蔽 主机 防火 墙 由 包 过 滤 路 由 器 (也 称 屏蔽 路 由 器 ) 和 堡垒 主机 (用 作 应 用 级 网 关 ) 组 
成 。 它 采用 屏蔽 路 由 器 和 堡垒 主机 双重 安全 设施 ,使 所 有 进出 的 数据 都 要 经 过 屏蔽 路 由 器 
和 堡垒 主机 ,保证 了 网 络 级 和 应 用 级 的 安全 。 路 由 器 进行 包 过 滤 , 堡 公主 机 进行 应 用 安全 控 
制 (如 图 9.7 所 示 )。 这 是 一 种 很 可 靠 的 设计 ,一 个 黑客 必须 穿 透 路 由 器 和 堡垒 主机 才能 够 
到 达 内 部 网 络 。 为 了 使 堡垒 主机 具备 足够 强 的 抗 攻击 性 能 ,在 堡垒 主机 上 只 安装 最 小 的 服 
务 .并 且 所 拥有 的 权限 也 是 最 低 的 。 


工作 站 


路 由 器 堡垒 主机 工作 站 


[四 | 
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图 9.7 屏蔽 主机 防火 墙 


实现 时 ,通常 是 一 个 堡垒 主机 安装 在 内 部 网 络 上 ,在 路 由 器 上 设立 过 滤 规 则 ,并 使 这 个 
堡垒 主机 成 为 从 外 部 网 络 唯一 可 直接 到 达 的 主机 ,这 确保 了 内 部 网 络 不 受 未 被 授权 的 外 部 
用 户 的 攻击 。 如 果 受 保护 网 是 一 个 虚拟 扩展 的 本 地 网 , 即 没 有 子 网 和 路 由 器 ,那么 内 部 网 的 
变化 不 影响 堡垒 主机 和 屏蔽 路 由 器 的 配置 。 和 危险 带 限制 在 堡垒 主机 和 屏蔽 路 由 器 。 网 关 的 
基本 控制 策略 由 安装 在 上 面 的 软件 决定 。 其 中 的 路 由 器 配置 成 为 可 转发 所 有 不 可 信任 的 通 
信 到 堡垒 主机 和 信息 服务 器 ,由 于 内 部 网 络 与 堡垒 主机 在 同一 个 子 网 内 ,安全 策略 可 以 允许 
内 部 用 户 直 接 访问 外 部 网 络 ,或 强制 使 他 们 用 代理 服务 访问 外 部 网 络 ,实现 这 些 依赖 于 配置 
路 由 器 的 过 滤 规 则 ,所 以 路 由 器 仅仅 接受 从 堡垒 主机 发 起 的 出 网 通信 连接 。 

在 屏蔽 主机 防火 墙 配置 下 ,允许 信息 服务 器 放 在 路 由 器 和 堡垒 主机 之 间 。 同 样 ,由 安全 
策略 决定 外 部 和 内 部 用 户 是 直接 访问 信息 服务 器 还 是 必须 经 由 堡垒 主机 才能 访问 信息 服务 
器 。 如 果 要 实施 强 有 力 的 安全 保护 , 则 可 让 内 、 外 网 络 访问 信息 服务 器 的 通信 必须 经 由 堡垒 
主机 进行 。 

在 屏蔽 主机 防火 墙 配置 下 ,堡垒 主机 可 以 是 一 台 标准 主机 ,或 者 为 了 构造 更 安全 的 防火 
墙 ,堡垒 主 机 也 可 以 是 一 台 双 宿主 机 。 这 样 ,所 有 内 部 到 信息 服务 器 和 到 经 过 路 由 器 到 外 部 
网 络 的 通信 就 自动 地 被 强制 从 装 在 双 宿 主机 上 的 代理 服务 器 通过 。 因 而 堡垒 主机 就 成 为 外 
部 网 络 唯一 能 访问 的 主机 。 任 何人 都 不 能 登录 堡垒 主机 ,除非 人 侵 者 侵入 系统 ,改变 了 配 
置 , 绕 过 了 防火 墙 。 

屏蔽 主机 防火 墙 易 于 实现 也 最 为 安全 。 但 如 果 攻 击 者 设法 登录 到 堡垒 主机 上 面 , 则 整 
个 内 部 网 络 都 将 面临 巨大 威胁 。 这 与 双 穴 主机 网 关 受 攻击 时 的 情形 差不多 。 


9.3.3 屏蔽 子 网 防火 墙 
在 屏蔽 主机 防火 墙 和 双 宿 主机 防火 墙 这 两 种 体系 结构 中 .堡垒 主 机 都 是 最 关键 的 ,如 果 
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攻击 者 设法 登录 到 它 上 面 ,内 部 网 络 中 的 其 余 主 机 就 会 受到 很 大 威胁 。 为 了 解决 这 个 问题 ， 
出 现 了 屏蔽 子 网 防火 墙 体系 结构 。 

屏蔽 子 网 防火 墙 由 两 个 包 过 滤 路 由 器 和 一 个 堡垒 主 机 构成 , 它 在 内 部 网 络 和 外 部 网 络 
之 间 建 立 了 一 个 被 隔离 的 子 网 (如 图 9. 8 所 示 )。 其 基本 实现 方法 是 在 外 部 和 内 部 网 络 之 间 
创建 一 个 非 军事 区 (CDMZ) ,其 中 可 以 安放 堡垒 主 机 、Web 服务 器 和 Mail 服务 器 等 公用 服务 
器 ,外 部 路 由 器 仅仅 允许 从 外 部 访问 堡垒 主机 (也 可 到 信息 服务 器 ) ,内 部 路 由 器 仅 允 许 从 内 
部 访问 堡垒 主机 ,这 内 外 两 个 路 由 器 强制 使 得 所 有 和 人 网 和 出 网 通信 都 要 通过 堡垒 主机 。 

设置 非 军事 区 的 一 个 重要 好 处 就 是 由 于 两 个 路 由 器 强制 使 得 内 、 外 两 方 的 网 络 系统 必 
须 通过 堡垒 主机 ,那么 堡垒 主机 就 没 必要 是 双 宿 主机 了 ,这 就 提供 了 比 双 宿 主机 更 快 的 吞吐 
量 。 不 过 ,这 将 使 路 由 器 的 配置 更 复杂 ,配置 不 当 则 会 引发 安全 问题 。 
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9.8 ”屏蔽 子 网 防火 墙 


在 很 多 实现 中 ,两 个 包 过 滤 路 由 器 放 在 子 网 的 两 端 ,在 子 网 内 构成 一 个 DNS, 内 部 网 络 
和 外 部 网 络 均 可 访问 被 屏蔽 子 网 ,但 禁止 它们 穿 过 被 屏蔽 子 网 通信 。 有 的 屏蔽 子 网 中 还 设 
有 一 堡垒 主机 作为 唯一 可 访问 点 ,支持 终端 交互 或 作为 应 用 网 关 代 理 。 这 种 配置 的 危险 带 
包括 堡垒 主机 、 子 网 主机 及 所 有 连接 内 网 .外 网 和 屏蔽 子 网 的 路 由 器 。 

屏蔽 子 网 防火 墙 提供 了 强 有 力 的 安全 保护 ,因为 入侵 者 要 穿 过 三 层 屏障 才能 到 达 内 部 
网 络 , 即 使 堡 驳 主机 被 入 侵 者 控制 ,内 部 网 络 仍 受 到 内 部 包 过 滤器 的 保护 。 如 果 攻 击 者 试图 
完全 破坏 防火 墙 ,他 必须 重新 配置 连接 三 个 网 的 路 由 器 , 既 不 切断 连接 又 不 要 把 自己 锁 在 外 
面 , 同 时 又 不 使 自己 被 发 现 , 这 样 也 还 是 可 能 的 。 但 若 禁止 网 络 访问 路 由 器 或 只 允许 内 网 中 
的 某 些 主机 访问 它 , 则 攻击 会 变 得 很 困难 。 在 这 种 情况 下 ,攻击 者 得 先 侵 入 堡垒 主机 ,然后 
进入 内 网 主机 ,再 返回 来 破坏 屏蔽 路 由 器 ,并 且 整 个 过 程 中 不 能 引发 警报 。 因 此 屏蔽 子 网 防 
火 墙 在 各 种 类 型 的 防火 墙 中 提供 了 最 高 级 别 的 安全 保护 。 

综 上 所 述 ,防火 墙 作为 网 络 安全 政策 和 策略 中 的 一 个 组 成 部 分 ,减轻 了 网 络 和 系统 被 用 
于 非法 和 恶意 目的 的 风险 。 虽然 防火 墙 并 不 是 解决 网 络 安全 问题 的 万 能 药方 ,但 作为 维护 
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网 络 安全 的 关键 技术 之 一 , 它 在 今后 采用 的 网 络 安全 防范 体系 中 , 仍 将 占据 着 举足轻重 的 
位 置 。 


9.4 关键 术语 


防火 墙 (Firewall) 

软件 防火 墙 (Software Firewall) 
硬件 防火 墙 (Hardware Firewall) 
单一 主机 防火 墙 (Host Firewall) 

应 用 级 网 关 (Application-Level Gateway) 
电路 级 网 关 (Circuit-Level Gateway) 

保 合 主机 (Bastion Host) 

双 宿 主机 防火 墙 (Dual-zHomed Host Firewall) 
屏蔽 主机 防火 墙 (Screened Host Firewall) 
屏蔽 子 网 防火 墙 (Screened-Subnet Firewall) 


9.5 习 题 
什么 是 防火 墙 ? 防火 墙 能 防 病毒 吗 ? 
简 述 防火 墙 的 主要 功能 。 
简 述 防火 墙 的 分 类 。 
简 述 防火 墙 的 局 限 性 。 


怎样 通过 防火 墙 进行 数据 包 过 滤 ? 
代理 服务 器 防火 墙 是 如 何 实现 的 ? 

.7 假如 一 个 公司 希望 实现 一 个 高 安全 性 能 的 防火 墙 来 隔离 用 户 做 出 的 内 部 和 外 部 
请 求 ,你 将 推荐 哪 种 体系 结构 的 防火 墙 ? 


人 
DoDN- 
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本 章 导读 

避 本 章 主要 介绍 入 侵 检 测 的 概念 、 模 型 .分 类 和 技术 等 内 容 。 

所 入侵 检测 (Intrusion Detection) 是 指 通过 对 行为 、 安 全 日 志 或 审计 数据 或 其 他 网 络 上 
可 以 获得 的 信息 进行 操作 ,检测 到 对 系统 的 交 入 或 闻 入 的 企图 。 

如 入 侵 检 测 是 防火 墙 的 合理 补充 , 它 帮助 系统 对 付 网 络 攻 击 , 扩 展 了 系统 管理 员 的 安 
全 管理 能 力 ( 包 括 安全 审计 、 监 视 、 进 攻 识 别 和 响应 ), 提 高 了 信息 安全 基础 结构 的 完 
整 性 。 采 用 入 侵 检 测 系 统 是 预警 .监控 ,处置 网 络 攻击 的 有 效 方法 。 

所 一 个 入 侵 检 测 系 统 (IDS) 通 常 由 三 个 部 分 组 成 : 提供 事件 记录 流 的 信息 资源 ; 发 现 
入 侵 事 件 的 分 析 引 擎 ; 对 分 析 引 擎 的 输出 做 出 反应 的 响应 组 件 。 

如 有 影响 的 入 侵 检 测 模型 主要 有 IDES 模型 .IDM 模型 以 及 公共 入 侵 检测 框架 CIDF。 

如 根据 数据 源 的 不 同 , 通 常 可 以 分 为 基于 主机 的 入 侵 检 测 系 统 、 基 于 网 络 的 入 侵 检 测 
系统 和 分 布 式 入 侵 检测 系统 三 种 。 

后 根据 分 析 引 擎 所 采用 的 技术 ,可 以 将 入 侵 检 测 技 术 分 为 异常 检测 (Anomaly 
Detection) 技 术 和 误 用 检测 (Misuse Detection) 技 术 两 大 类 。 

廿 异 常 检测 提取 正常 模式 审计 数据 的 数学 特征 ,检查 事件 数据 中 是 否 存在 与 之 相 违 背 的 
异常 模式 。 误 用 检测 则 搜索 审计 事件 数据 ,查看 其 中 是 否 存 在 预先 定义 的 入 侵 模式 。 


防火 墙 作 为 网 络 安全 技术 中 最 常用 的 方法 之 一 ,其 安全 防护 的 层次 处 在 网 络 的 边界 , 因 
此 虽然 能 阻挡 外 部 入 侵 者 ,但 对 内 部 攻击 却 无 能 为 力 。 男 外 , 它 的 局 限 性 也 使 得 它 不 能 防止 
通 向 站 点 的 后 门 , 无 法 防范 数据 驱动 型 的 攻击 ,不 能 防止 用 户 由 Internet 上 下 载 被 病毒 感染 
的 计算 机 程序 或 将 该 类 程序 附 在 电子 邮件 上 传输 ,即使 是 某 些 防 火 墙 本 身 也 会 引起 一 些 安 
全 问题 。 

数据 加 密 和 认证 技术 作为 提高 信息 系统 及 数据 安全 性 、 保 密 性 和 防止 秘密 数据 被 破解 
所 采用 的 主要 手段 之 一 ,也 是 一 种 静态 的 被 动 防护 ,对 内 部 攻击 者 也 无 能 为 力 ,因为 它们 持 
有 私 钥 。 

安全 研究 的 历史 给 了 我 们 一 个 有 价值 的 教训 一 一 没有 100% 的 安全 方案 ,无 论 多 么 安 
全 的 方案 都 可 能 存在 这 样 或 那样 的 漏洞 :不管 在 网 络 中 加 入 多 少 和 人 侵 预防 措施 (如 加 密 、 防 
火 墙 和 认证 ) ,通常 还 是 会 有 一 些 被 人 利用 而 人 侵 的 薄弱 环节 。 当 一 个 人 侵 (定义 为 "一些 试 
图 损害 一 个 资源 的 完整 性 ` 有 效 性 的 行为 集合 ”) 行 为 发 生 时 ,如 果 能 被 足够 快 的 检测 出 来 ， 
并 在 系统 被 破坏 和 数据 被 威胁 之 前 入 侵 者 就 能 被 确认 和 逐 出 系统 的 话 , 网 络 系统 的 安全 性 
无 疑 将 大 大 提高 。 因 此 ,在 有 了 入 侵 预 防 技术 (如 加 密 、 防 火 墙 和 认证 ) 作 为 第 一 道 防线 之 
后 ,为 了 对 抗 内 部 攻击 ,还 需要 在 网 络 中 建立 完善 的 主动 防御 机 制 一 一 和 人 侵 检 测 系 统 (IDS) 
作为 保护 网 络 系统 的 第 二 道 防护 墙 。 而 且 , 一 个 有 效 的 入 侵 检测 系统 还 能 作为 一 种 威慑 , 防 
丰 大 侵 。 
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10.1 入 侵 检 测 概述 


10.1.1 入 侵 检 测 基本 概念 


入 侵 检 测 (Intrusion Detection) 是 指 通过 对 行为 .安全 日 志 或 审计 数据 或 其 他 网 络 上 可 
以 获得 的 信息 进行 操作 ,检测 到 对 系统 的 奖 入 或 问 入 的 企图 。 入 侵 检 测 技 术 是 一 种 动态 的 
网 络 检测 技术 ,主要 用 于 识别 对 计算 机 和 网 络 资源 的 恶意 使 用 行为 ,包括 来 自 外 部 用 户 的 人 
侵 行 为 和 内 部 用 户 的 未 经 授权 活动 。 一 旦 发 现 网 络 入 侵 现 象 , 则 应 当做 出 适当 的 反应 。 对 
于 正在 进行 的 网 络 攻击 , 则 采取 适当 的 方法 来 阻 断 攻击 (与 防火 墙 联 动 ) ,以 减少 系统 损失 。 
对 于 已 经 发 生 的 网 络 攻击 , 则 应 通过 分 析 日 志 记 录 找 到 发 生 攻击 的 原因 和 入侵 者 的 踪迹 , 作 
为 增强 网 络 系统 安全 性 和 追究 人 侵 者 法 律 责任 的 依据 。 它 从 计算 机 网 络 系统 中 的 若干 关键 
点 收集 信息 ,并 分 析 这 些 信息 ,看 看 网 络 中 是 否 有 违反 安全 策略 的 行为 和 遭 到 袭击 的 迹象 。 

人 侵 检测 系统 由 入 侵 检测 的 软件 与 硬件 组 合 而 成 ,是 防火 墙 之 后 的 第 二 道 安全 闻 门 ,在 
不 影响 网 络 性 能 的 情况 下 能 对 网 络 进行 监测 ,提供 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 实时 保 
护 。 它 的 主要 任务 如 下 。 

@ 监视 .分 析 用 户 及 系统 活动 。 

@ 系统 构造 和 弱点 的 审计 。 

@ 识别 反映 已 知 进攻 的 活动 模式 并 向 相关 人 士 报警 。 

@ 异常 行为 模式 的 统计 分 析 。 

@ 评估 重要 系统 和 数据 文件 的 完整 性 。 

@ 操作 系统 的 审计 跟踪 管理 ,并 识别 用 户 违反 安全 策略 的 行为 。 

对 一 个 成 功 的 入 侵 检测 系统 来 讲 , 它 不 但 可 以 使 系统 管理 员 时 刻 了 解 网 络 系统 (包括 程 
序 、 文 件 和 硬件 设备 等 ) 的 任何 变更 ,还 能 给 网 络 安 全 策略 的 制定 提供 指南 ; 入 侵 检测 的 规 
模 还 应 根据 网 络 威胁 、 系 统 构 造 和 安全 需求 的 改变 而 改变 , 即 必须 能 够 适用 于 多 种 不 同 的 环 
境 ; 入 侵 检测 系统 在 发 现 攻 击 后 ,应 及 时 做 出 响应 ,包括 切断 网 络 连接 、 记 录 事 件 和 报警 等 ; 
更 为 重要 的 一 点 是 , 它 应 该 管理 .配置 简单 ,从 而 使 非 专 业 人 员 非 常 容 易 地 获得 网 络 安全 。 

一 个 人 侵 检 测 系统 (IDS) 通 常 由 以 下 三 个 部 分 组 成 。 

J 提供 事件 记录 流 的 信息 资源 。 

@ 发 现 人 侵 事 件 的 分 析 引 擎 。 

@ 对 分 析 引 擎 的 输出 做 出 反应 的 响应 组 件 。 


10.1.2 入 侵 检 测 系统 基本 模型 


1980 年 ,James P. Anderson 在 他 的 一 份 题 为 (Computer Security Threat Monitoring 
and Surveillance》( 计 算 机 安全 威胁 监控 与 监视 ) 的 技术 报告 中 ,第 一 次 详细 阐述 了 入 侵 检 测 
的 概念 。 他 提出 了 一 种 对 计算 机 系统 风险 和 威胁 进行 分 类 的 方法 ,并 将 威胁 分 为 外 部 渗透 、 
内 部 渗透 和 不 法 行为 三 种 ,还 提出 了 利用 审计 跟踪 数据 监视 入 侵 活动 的 思想 。 这 份 报 告 被 公 
认为 是 入 侵 检测 的 开山 之 作 。 在 此 之 后 ,有 关 入 侵 检测 系统 模型 和 技术 的 研究 也 逐渐 发 展 起 
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来 ,其 中 有 影响 的 入 侵 检测 模型 主要 有 IDES 模型 IDM 模型 以 及 公共 入 侵 检测 框架 CIDF。 

1. IDES 模型 

1984 年 一 1986 年 ,乔治 敦 大 学 的 Dorothy Denning 和 SRI/CSL(SRI 公司 计算 机 科学 
实验 室 ) 的 Peter Neumann 提出 了 一 个 实时 入 侵 检 测 系 统 模型 , 取 名 为 IDES( 入 侵 检 测 专 
家 系统 )。 它 独立 于 特定 的 系统 平台 、 应 用 环境 、 系 统 弱 点 以 及 入 侵 类 型 ,为 构建 入 侵 检 测 系 
统 提供 了 一 个 通用 的 框架 (如 图 10. 1 所 示 )。 


从 图 10. 1 中 可 以 看 出 ,该 模型 由 6 个 [主体 FA 对 旬 
部 分 组 成 : 主体 (Subject)、 对象 (Object)、 
审计 记录 (Audit Records) .轮廓 特征 (Profile) 、 审计 数据 实时 信息 
异常 记录 (Anomaly Records) 和 活动 规则 1 
(Activity Rules)。 其 中 ,主体 指 系统 操作 法 系统 规则 。[ 攻 击 状 示 
ctivity Rules 划 添加 新 规则 [| 下 令 。 上 [ 攻 击 关 术 


中 的 主动 发 起 者 ,例如 计算 机 操作 系统 的 进 
程 .网络 的 服务 连接 等 。 对 象 指 系统 所 管理 
的 资源 ,如 文件 、 命 令 和 设备 等 。 主 体 和 客 
体 有 时 是 相互 转变 的 。 例 如 当 操 作 系 统 进程 A 去 访问 文件 B 时 ,进程 A 是 主体 ,而 从 进程 
创建 者 的 角度 去 看 , 则 进程 A 为 对 象 。 因 此 模型 中 的 审计 数据 的 对 象 是 在 不 断 变 化 的 , 具 
体 取决 于 入 侵 检 测 系统 的 审计 策略 。 审 计 记 录 指 主体 对 对 象 实施 操作 时 系统 产生 的 数据 ， 
如 用 户 注册 ,命令 执行 和 文件 访问 等 。 轮 廓 是 IDES 模型 用 来 刻画 主体 对 对 象 的 行为 ,并 使 
用 随机 变量 (Metrics) 和 统计 模型 来 定量 描述 观测 到 主体 对 象 的 行为 活动 特征 。 异 常 记录 
是 指 IDES 动态 的 更 新 轮廓 并 检测 异常 行为 , 当 发 现 异 常 行为 时 产生 异常 记录 信息 。 活 动 
规则 指明 当 一 个 审计 记录 或 异常 记录 产生 时 应 采取 的 动作 。 

由 于 IDES 模型 无 法 检测 出 新 的 攻击 方法 ,1988 年 ,SRI/CSL 的 Teresa Lunt 等 人 改进 
了 Denning 的 入 侵 检测 模型 ,并 开发 出 了 一 个 人 侵 检测 专家 系统 。 该 系统 包括 一 个 异常 检 
测 器 和 一 个 专家 系统 ,分 别 用 于 基于 行为 的 检测 (异常 检测 ,Anomaly Detection) 和 基于 知 
识 的 检测 ( 误 用 检测 ,Misuse Detection)。 对 于 误 
用 检测 ,需要 为 模式 匹配 器 准备 好 入 侵 的 模式 库 。 
对 于 异常 检测 , 则 首先 利用 收集 的 数据 ,采取 一 定 
的 统计 方法 建立 相应 的 系统 分 析 模 型 ,作为 系统 
正常 运行 的 参考 基准 ,这 个 过 程 由 系统 的 分 析 引 
擎 完成 。 而 异常 检测 器 则 不 断 地 计算 相应 统计 量 
的 变化 情况 ,一 旦 系统 偏 移 参 考 基准 超过 许可 范 
围 ,就 认为 系统 异常 。 一 种 改进 的 入 侵 检 测 模 型 

图 10.2 改进 的 IDES 入 侵 检 测 模型 如 图 10. 2 所 示 。 

Denning 归纳 了 可 用 于 入 侵 检测 的 4 种 统计 模型 。 

(1) 操作 模型 (Operational Model) 

操作 模型 主要 针对 系统 中 的 事件 计数 ,例如 ,在 一 定时 间 段 内 统计 口令 错误 的 次 数 。 该 
模型 将 得 到 的 统计 值 与 门限 值 进行 比较 ,如 果 超 出 正常 范围 就 触发 异常 响应 。 这 种 模型 除 
了 可 以 应 用 于 异常 检测 之 外 ,同样 也 适用 于 误 用 检测 。 


10.1 IDES 模型 


审计 数据 源 


模式 匹配 器 轮廓 特征 引擎 


异常 检测 器 


策略 规则 
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(2) 均值 与 标准 偏差 模型 (Mean and Standard Deviation Model) 

该 模型 基于 这 样 一 个 假设 : 分 析 器 根据 均值 和 标准 偏差 这 两 个 参量 就 可 以 了 解 系统 行 
为 的 度量 。 在 检测 过 程 中 ,如 果 观 察 到 的 系统 /用 户 行为 超出 了 可 以 信任 的 范围 ,就 认为 是 
异常 。 信 任 区 间 (Confidence Interval) 通 常用 与 均值 之 间 的 标准 偏差 d 来 表示 。 这 种 特征 
提取 的 方法 适用 于 事件 计数 、 内 部 定时 以 及 资源 使 用 状况 等 统计 范畴 。 

(3) 多 元 模型 (Multivariate Model) 

该 模型 是 均值 与 标准 偏差 模型 的 扩展 。 这 种 模型 基于 对 两 个 或 多 个 参量 之 间 的 相关 分 
析 ,摆脱 了 依赖 于 单个 参量 来 判断 系统 异常 的 束缚 。 例 如 ,在 使 用 单个 参量 时 ,可 能 仅仅 针 
对 会 话 的 时 间 长 短 来 进行 判断 ,而 引入 多 元 模型 之 后 ,就 可 以 在 此 基础 上 结合 CPU 的 使 用 
率 等 进行 判断 ,从 而 提高 了 判断 的 准确 性 。 

(4) 马尔 可 夫 过 程 模型 (Markov Process Model) 

该 模型 是 最 为 复杂 的 模型 。 检 测 器 把 每 一 种 不 同类 型 的 审计 事件 看 做 是 一 个 状态 变 
量 , 使 用 状态 转移 矩阵 (State Transition Matrix) 表 示 在 系统 状态 转移 的 过 程 中 存在 的 概率 
特征 (不 是 状态 本 身 的 概率 ,而 是 状态 转移 的 概率 )。 在 检测 过 程 中 ,使 用 正常 情况 下 的 状态 
转移 矩阵 ,针对 每 一 次 系统 的 实际 状态 变化 计算 其 发 生 的 概率 ,如 果 计 算 结 果 非 常 小 , 则 认 
为 是 出 现 了 异常 。 基 于 马尔 可 夫 模 型 的 检测 器 可 以 发 现 异常 的 用 户 命令 或 事件 序列 ,而 不 
仅仅 是 发 现 单个 异常 事件 。 这 种 方法 实际 上 提出 了 针对 事件 流 进行 状态 分 析 的 思想 。 

2. 层次 化 入 侵 检 测 模型 

1988 年 的 莫 里 斯 蠕虫 事件 发 生 之 后 .网络 安 全 才 真 正 引 起 了 军 方 、 学 术 界 和 企业 的 高 
度 重视 。 美 国 空军 .国家 安全 局 和 能 源 部 共同 资助 空军 密码 支持 中 心 ,劳伦斯 利 弗 摩尔 国家 
实验 室 ,加州 大 学 戴 维 斯 分 校 和 Haystack 实验 室 开展 了 对 分 布 式 人 侵 检测 系统 (DIDS) 的 
研究 。DIDS 是 分 布 式 人 侵 检测 系统 历史 上 的 一 个 里 程 碑 , 它 的 检测 模型 采用 了 分 层 结构 ， 
属于 层次 化 入 侵 检 测 模 型 (IDM) ,包括 数据 .事件 .主体 上下文、 威胁 和 安全 状态 等 6 层 , 如 
表 10. 1 所 示 。 该 模型 给 出 了 当 网 络 中 的 计算 机 受 攻击 时 ,将 捕获 的 数据 流 抽 象 加 工 成 IDS 
可 以 识别 形式 的 过 程 。 通 过 把 收集 到 的 原始 数据 进行 加 工 抽 象 并 进行 数据 关联 操作 ,IDM 
构造 了 一 台 虚 拟 的 机 器 环境 ,这 台 虚 拟 机 器 由 所 有 相连 的 主机 和 网 络 组 成 。 将 分 布 式 系统 
看 做 一 台 虚 拟 的 计算 机 的 方法 简化 了 入 侵 行为 识别 的 过 程 。 该 模型 也 适用 于 只 有 单 台 计算 
机 环境 。 


表 10.1 IDM 模型 


层 次 名 称 解释 说 明 
6 安全 状态 (Security State) 网 络 整体 安全 情况 
5 威胁 (Thread) 动作 产生 的 结果 种 类 
4 上 下 文 (Context) 事件 发 生 所 处 的 环境 
3 主体 (Subject) 事件 的 发 起 者 
2 事件 (Event) 日 志 记录 特征 性 质 和 表示 动作 描述 
1 数据 (Data) 操作 系统 或 网 络 访问 日 志 记 录 


其 中 ,第 一 层 针 对 的 客体 (Object) 包 括 主机 操作 系统 的 审计 记录 、 局 域 网 监视 器 结果 和 
第 三 方 的 审计 软件 包 提供 的 数据 。 在 该 层次 上 ,刻画 客体 的 语法 和 语义 同 数据 来 源 是 相关 
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联 的 ,主机 或 网 络 上 的 所 有 操作 都 可 以 用 这 样 的 客体 表示 出 来 。 

第 二 层 处 理 的 客体 是 对 第 一 层 客体 的 扩充 ,该 层次 的 客体 称 为 事件 。 事 件 描 述 第 一 层 
的 客体 内 容 所 表示 的 含义 和 固有 特征 性 质 。 用 来 说 明 事件 的 数据 域 有 两 个 : 动作 (Action) 
和 和 领域 (Domain) 。Action 刻画 了 审计 记录 的 动态 特征 ,Domain 给 出 了 审计 记录 的 对 象 的 
特征 。 事 件 的 Action 包括 会 话 开 始 会话 结束 、 读 文件 或 设备 、 写 文件 或 设备 、 执 行进 程 、 进 
程 结束 、 创 建文 件 或 设备 ,删除 文件 或 设备 移动 文件 或 设备 ,改变 权限 、 改 变 用 户 号 等 。 
Domain 包括 标签 认证、 审计 、 网 络 、 系 统 、 系 统 信息 、 用 户 信息 、 应 用 工具 、 拥 有 者 和 非 拥 有 
者 等 。 

第 三 层 引 入 一 个 唯一 标识 号 , 即 主体 。 主 体 用 来 鉴别 在 网 络 中 跨越 多 台 主 机 使 用 的 
用 户 。 

上 下 文 用 来 说 明 事件 发 生 时 所 处 的 环境 ,或 者 给 出 了 事件 产生 的 背景 。Context 分 为 


信息 来 检测 人 侵 。 空 间 型 Context 说 明了 事件 的 来 源 与 人 侵 行 为 的 相关 性 , 它 指 出 事件 来 
源 于 哪个 特别 的 用 户 或 者 哪 台 主机 。 

第 五 层 考虑 事件 对 网 络 和 主机 形成 的 威胁 。 当 把 事件 和 它 的 Context 结合 起 来 分 析 
时 ,就 能 够 发 现存 在 的 威胁 。 可 以 根据 误 用 的 特征 和 对 象 划 分 威胁 类 型 , 即 和 人 侵 者 做 了 什么 
和 入 侵 的 对 象 是 什么 。 

第 六 层 用 1 一 100 来 表示 网 络 的 安全 状态 ,数字 值 越 高 , 则 网 络 的 安全 性 就 越 低 。 实 际 
上 ,可 以 将 网 络 安全 的 数字 值 看 成 是 对 系统 中 所 有 主体 产生 威胁 的 函数 。 

分 布 式 人 侵 检测 系统 在 实现 IDM 模型 时 ,采用 了 一 个 数据 库 保 存 各 层次 的 信息 ,安全 
管理 员 可 以 根据 需要 查询 相关 的 信息 。 

3. 公共 入 侵 检 测 框架 

公共 入 侵 检 测 框架 (CIDF) 是 一 个 人 侵 检测 系统 的 通用 模型 ,是 为 了 提高 IDS 产品 、 组 
件 及 与 其 他 安全 产品 之 间 的 互 操作 性 ,由 美国 国防 高 级 研究 计划 署 (DARPA) 和 互联 网 工 
程 任务 组 (IETF) 的 入 侵 检测 工作 组 (IDWG) 发 响应 事件 
起 制定 的 一 系列 建议 草案 , 它 从 体系 结构 .API、 响应 单元 一 一 ~ 


通信 和 机制、 语言 格式 等 方面 规范 IDS 的 标准 。 商 拓 于 作 企 信 吾 件 
CIDF 将 一 个 人 侵 检测 系统 分 为 以 下 部 分 : 事件 |[ 亚 件 分 析 器 ym 
产生 器 (Event Generator) ,事件 分 析 器 (Event 原始 事件 原始 事件 
Analyzer) ,响应 单元 (Response Units) 和 事件 

数据 库 (Event Database) ,如 图 10. 3 所 示 。 10.3 CIDF 体系 结构 


在 这 个 模型 中 ,事件 产生 器 .事件 分 析 器 和 响应 单元 通常 以 应 用 程序 的 形式 出 现 , 而 事 
件数 据 库 则 往往 是 文件 或 数据 流 的 形式 ,很 多 IDS 厂商 都 以 数据 收集 部 分 、 数 据 分 析 部 分 
和 控制 台 部 分 分 别 代替 事件 产生 器 .事件 分 析 器 和 响应 单元 。CIDF 将 IDS 需要 分 析 的 数 
据 统称 为 事件 , 它 可 以 是 网 络 中 的 数据 包 ,也 可 以 是 从 系统 日 志 或 其 他 途径 得 到 的 信息 。 上 
述 4 个 组 件 知识 逻辑 实体 ,一 个 组 件 可 能 是 某 台 计算 机 上 的 一 个 进程 甚至 线程 ,也 可 能 是 多 
个 计算 机 上 的 多 个 进程 ,它们 以 GIDO( 统 一 入侵 检测 对 象 ) 格 式 进行 数据 交换 。GIDO 是 对 
事件 进行 编码 的 标准 通用 格式 ,由 CIDF 描述 语言 CISL 定义 , 它 可 以 是 发 生 在 系统 中 的 审 
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计 事 件 ,也 可 以 是 对 审计 事件 的 分 析 结 果 。 

事件 产生 器 的 任务 是 从 入 侵 检测 系统 之 外 的 计算 环境 中 收集 事件 ,并 将 这 些 事 件 转 换 
成 CIDF 的 GIDO 格式 传送 给 其 他 组 件 。 例 如 ,事件 产生 器 可 以 是 读 取 C2 级 审计 踪迹 并 将 
其 转换 成 GIDO 格式 的 过 滤器 ,也 可 以 是 被 动 地 监视 网 络 并 根据 网 络 数据 流产 生 事件 的 另 
一 种 过 滤器 ,还 可 以 是 SQL 数据 库 中 产生 事件 的 应 用 代码 。 

事件 分 析 器 从 其 他 组 件 收 到 的 GIDO 进行 分 析 , 并 将 产生 的 新 GIDO 再 传送 给 其 他 部 
件 。 分 析 器 可 以 是 一 个 轮廓 描述 工具 ,统计 、 检 查 现在 的 事件 是 否 可 能 与 以 前 某 个 事件 来 自 
同一 个 事件 序列 ,也 可 以 是 一 个 特征 检测 工具 ,用 于 在 一 个 事件 序列 中 检查 是 否 有 已 知 的 误 
用 攻击 特征 。 此 外 ,事件 分 析 器 还 可 以 观察 事件 之 间 的 关系 ,将 有 联系 的 事件 分 类 到 一 起 ， 
以 利于 以 后 的 进一步 分 析 。 

响应 单元 处 理 收 到 的 GIDO, 并 根据 此 采取 相应 的 措施 ,如 杀 死 相关 进程 将 连接 复位 、 
修改 文件 权限 等 。 

事件 数据 库 用 来 存储 GIDO, 以 备 系统 需要 的 时 候 使 用 。 

由 于 CIDF 有 一 个 标准 格式 GIDO. 所 以 这 些 组 件 也 适用 于 其 他 环境 ,只 需要 将 典型 的 
环境 特征 转换 成 GIDO 格式 ,这 样 就 提高 了 组 件 之 间 的 消息 共享 和 互通 性 。 


10.2 人 侵 检测 系统 分 类 


入 侵 检测 是 监视 计算 机 网 络 系统 中 违背 系统 安全 策略 行为 的 过 程 , 通 常 由 数据 源 、 分 析 
引擎 、 响 应 三 个 部 分 组 成 ,因此 可 以 分 别 从 这 三 个 角度 对 入 侵 检测 系统 进行 分 类 。 

根据 数据 源 的 不 同 ,通常 可 以 分 为 基于 主机 的 入 侵 检测 系统 、 基 于 网 络 的 入 侵 检测 系统 
和 分 布 式 人 侵 检测 系统 三 种 。 为 了 检测 攻击 ,入 侵 检测 系统 必须 能 够 发 现 攻击 的 证 据 。 基 
于 主机 的 入 侵 检测 通常 从 主机 的 审计 记录 和 日 志文 件 中 获得 所 需 的 主要 数据 ,并 辅 之 以 主 
机 上 的 其 他 信息 ,例如 文件 系统 属性 、 进 程 状态 等 ,在 此 基础 上 完成 检测 攻击 行为 的 任务 , 早 
期 的 人 侵 检测 系统 都 是 基于 主机 的 入 侵 检 测 系 统 。 随 着 网 络 环境 的 普及 ,出 现 了 大 量 基于 
网 络 的 入 侵 检测 系统 ,通过 监听 网 络 中 的 数据 包 来 获得 必要 的 数据 来 源 ,并 通过 协议 分 析 、 
特征 匹配 、 统 计 分 析 等 手段 发 现 当前 发 生 的 攻击 行为 。 分 布 式 人 侵 检测 系统 是 能 够 同时 分 
析 来 自主 机 系统 审计 日 志和 网 络 数据 流 的 入 侵 检测 系统 。 

针对 分 析 引 擎 的 不 同 ,可 分 为 异常 人 侵 检 测 和 误 用 入 侵 检 测 两 大 类 。 在 误 用 检测 中 ,入 
侵 过 程 模型 及 它 在 被 观察 系统 中 留 下 的 踪迹 是 决策 的 基础 。 通 过 事先 定义 某 些 特征 的 行为 
是 非法 的 ,然后 将 观察 对 象 与 之 进行 比较 以 做 出 判别 。 误 用 检测 基于 已 知 的 系统 缺陷 和 入 
侵 模 式 , 它 能 够 准确 地 检测 到 某 些 特征 的 攻击 ,但 却 过 度 依赖 事先 定义 好 的 安全 策略 ,所 以 
无 法 检测 系统 未 知 的 攻击 行为 ,从 而 产生 漏 报 。 在 异常 检测 中 ,观察 到 的 不 是 已 知 的 入侵 行 
为 ,而 是 所 研究 的 通信 过 程 中 的 异常 现象 , 它 通过 检测 系统 的 行为 或 使 用 情况 的 变化 来 完 
成 。 通 过 建立 正常 轮廓 ,明确 所 观察 对 象 的 正常 情况 ,然后 决定 在 何 种 程度 上 将 一 个 行为 标 
为 “异常 ”, 并 如 何 做 出 具体 决策 。 异 常 检测 可 以 识别 出 那些 与 正常 过 程 有 较 大 偏差 的 行为 ， 
但 无 法 知道 具体 的 入 侵 情况 。 由 于 对 各 种 网 络 环境 的 适应 性 不 强 , 且 缺乏 精确 的 判定 准则 ， 
异常 检测 经 常会 出 现 虚 警 情况 ,但 可 以 检测 到 系统 未 知 的 攻击 行为 。 
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从 响应 的 角度 来 看 ,可 以 大 致 分 为 三 类 : 报警 响应 .手工 响应 和 主动 响应 。 其 中 大 部 分 
系统 采用 的 是 报警 响应 ,报警 响应 是 当 检 测 到 入 侵 行 为 后 ,入 侵 检 测 系 统 向 网 络 系统 管理 员 
或 相关 人 员 发 出 告警 信息 。 手 工 响应 是 系统 提供 有 限 的 预先 编制 好 的 响应 程序 ,并 能 指导 
网 络 管理 员 选 择 合适 的 程序 进行 响应 。 与 报警 响应 相 比 ,这 类 系统 优点 明显 ,但 是 仍然 会 给 
攻击 者 留 下 较 大 的 人 侵 时 间 窗 口 。 而 主动 人 侵 响应 系统 不 需要 管理 员 手 工 干 预 ,检测 到 入 
侵 行为 后 ,系统 自动 进行 响应 决策 ,自动 执行 响应 措施 。 不 论 是 从 应 对 数量 惊人 的 入 侵 事 件 
考虑 ,还 是 从 响应 时 间 考 虑 ,主动 人 侵 响 应 系统 都 是 目前 较为 理想 的 响应 方法 。 

另外 ,根据 检测 速度 ,入 侵 检测 系统 可 分 为 实时 检测 和 离线 检测 。 实 时 检测 是 指 一 个 系 
统 以 在 线 的 方式 检测 入 侵 , 并 且 当 入 侵 刚 刚 进 入 时 即 给 出 警告 ,这 种 类 型 的 入 侵 需 要 很 快 的 
反应 速度 。 基 于 网 络 的 检测 在 实时 环境 中 工作 起 来 要 容易 些 ,因为 在 这 种 环境 中 可 以 监控 
网 络 流量 包 。 

下 面 主要 详细 介绍 基于 主机 的 入 侵 检测 系统 、 基 于 网 络 的 入 侵 检 测 系 统 和 分 布 式 入 侵 


10.2.1 基于 主机 的 入 侵 检 测 系 统 


基于 主机 的 入侵 检测 系统 (HIDS) 通 过 监视 与 分 析 主 机 的 审计 记录 日志 等 信息 来 检测 
入 侵 。 它 的 数据 源 来 自 以 下 几 个 方面 。 

Q@ 操作 系统 审计 记录 (由 专门 的 操作 系统 机 制 产生 的 系统 事件 记录 ) 。 

@ 系统 日 志 ( 由 系统 程序 产生 的 用 于 记录 系统 或 应 用 程序 事件 的 文件 ,通常 以 文本 文 
件 的 方式 存放 ) 。 

@ 基于 应 用 的 日 志 信息 。 

@ 基于 目标 的 对 象 信息 。 

(1) 操作 系统 审计 记录 

操作 系统 的 审计 记录 (Audit Trail) 由 包含 在 操作 系统 内 部 的 专门 审计 子 系统 产生 。 这 
些 审计 文件 由 审计 记录 组 成 ,每 条 审计 记录 描述 了 一 次 单独 的 系统 事件 。 当 系统 中 的 用 户 
采取 动作 或 调用 进程 时 ,引起 相应 的 系统 调用 或 执行 命令 ,此 时 审计 系统 就 会 产生 对 应 的 审 
计 记 录 。 比 如 用 户 登 录 和 退出 事件 ,文件 和 对 象 存 取 事 件 、 安 全 策略 改变 事件 、 系 统 关闭 重 
启事 件 和 账号 管理 事件 等 都 会 产生 审计 记录 。 一 般 对 于 每 类 事件 ,可 以 选择 审计 失败 的 事 
件 ,也 可 选择 审计 成 功 的 事件 ,或 者 两 者 都 审计 。 

(2) 系统 日 志 

系统 日 志 是 反映 各 种 系统 事件 和 配置 的 文件 ,与 审计 记录 相 比 更 加 直观 化 和 人 性 化 。 
在 某 些 特殊 的 环境 下 ,可 能 无 法 获得 操作 系统 的 审计 记录 或 者 不 能 对 审计 记录 进行 正确 解 
释 , 此 时 系统 日 志 就 成 为 系统 安全 管理 必 不 可 少 的 信息 来 源 了 。 另 外 ,从 法 律 的 角度 来 说 ， 
在 系统 遭受 到 外 界 的 入 侵 攻 击 之 后 .如 果 需 要 使 用 受 保 护 系 统 的 数据 源 作为 指控 的 证 据 , 那 
么 多 种 独立 的 数据 源 从 不 同 角度 反映 出 的 同一 个 事件 ,要 比 单个 数据 源 反映 的 事件 更 具 说 
服 力 。 但 是 系统 日 志 的 安全 性 与 操作 系统 的 审计 记录 相 比 ,仍然 要 差 一 些 。 原 因 在 于 : 

@ 产生 系统 日 志 的 软件 通常 作为 应 用 程序 而 不 是 作为 操作 系统 的 子 系统 运行 ,相对 于 
有 操作 系统 内 核 或 专门 的 审计 子 系统 产生 的 审计 记录 来 说 ,更 容易 遭 到 恶意 的 破坏 和 修改 。 

@ 系统 日 志 通 常 存 储 在 系统 未 经 保护 的 目录 中 ,并 且 以 文本 方式 存储 ,而 审计 记录 则 
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经 过 加 密 和 校 验 处 理 , 为 防止 恶意 的 算 改 提供 了 有 效 的 保护 机 制 。 

(3) 基于 应 用 的 日 志 信 息 

目前 的 应 用 系统 越 来 越 趋向 于 面向 对 象 和 分 布 式 结构 ,要 想 在 单一 的 操作 系统 层次 上 
获取 整个 系统 的 完整 信息 ,已 经 不 太 可 能 。 而 应 用 日 志 通 常 代 表 了 系统 活动 的 用 户 级 抽象 
信息 ,相对 于 系统 级 的 安全 数据 来 说 ,去 除了 大 量 的 宛 余 信息 ,更 易于 管理 员 浏览 和 理解 。 
例如 数据 库 管 理 系统 是 典型 的 需要 引入 审计 机 制 和 入 侵 检 测 的 应 用 环境 ;: WWW 服务 器 的 
日 志 信息 也 是 最 为 常见 的 应 用 级 数据 源 ,主流 的 WWW 服务 器 都 提供 访问 日 志 机 制 。 

在 和 人 侵 检测 系统 中 ,信息 的 组 织 工作 通常 是 通过 对 产生 的 每 个 事件 插入 时 间 戳 并 依次 
对 事件 进行 排序 来 完成 。 为 了 便于 用 户 对 审计 数据 更 好 地 加 以 理解 ,入 侵 检测 系统 有 时 需 
要 针对 不 同 来 源 的 事件 数据 流 进行 合并 以 及 从 人 工 智 能 的 角度 对 原始 的 事件 数据 流 进行 更 
高 层次 的 抽象 ,从 而 提取 出 原始 数据 背后 隐藏 的 具有 真正 意义 的 重要 信息 。 

(4) 基于 目标 的 对 象 信息 

在 某 些 受 保护 的 系统 中 ,进行 完全 的 内 核 级 安全 审计 将 消耗 大 量 的 系统 资源 。 在 这 种 
情况 下 ,产生 了 面向 目标 进行 安全 监视 的 想法 。 在 确定 审计 目标 之 前 ,首先 需要 评估 出 系统 
中 关键 的 或 是 有 特殊 价值 的 对 象 , 针 对 每 一 个 对 象 制定 信息 收集 和 监视 机 制 。 受 监视 目标 
的 每 一 次 状态 的 转变 都 将 与 系统 的 安全 策略 进行 比较 ,所 出 现 的 任何 差异 都 作为 日 志 记 录 
下 来 。 

常见 的 基于 目标 的 监视 技术 是 完整 性 校 验 , 它 可 以 监视 系统 对 象 (例如 关键 文件 ) 的 状 
态 变 化 。 与 动态 的 审计 机 制 和 系统 日 志 不 同 ,这 种 方法 提供 的 是 静态 的 安全 检查 。 尽 管 静 
态 的 检查 不 能 完全 满足 实时 检测 的 目的 ,但 由 于 占用 系统 资源 少 , 检 测 成 本 低 , 因 此 仍然 被 
认为 是 检测 入 侵 行为 的 有 效 手段 。 

基于 主机 的 IDS 的 主要 优点 如 下 。 

Q@ 能 更 准确 地 确定 出 攻击 是 否 成 功 。 基 于 主机 的 IDS 使 用 的 是 含有 已 发 生 事件 的 信 
息 , 可 以 比 基 于 网 络 的 IDS 更 加 准确 地 判断 攻击 是 否 成 功 。 

@) 能 监视 特定 的 系统 活动 。 基 于 主机 的 IDS 监视 用 户 访问 文件 的 活动 ,包括 文件 存 
取 改变 文件 权限 .试图 建立 新 的 可 执行 文件 以 及 试图 访问 特殊 的 设备 。 例 如 ,基于 主机 的 
IDS 可 以 监督 所 有 用 户 的 登录 及 退出 系统 的 情况 ,以 及 每 位 用 户 在 连接 到 网 络 以 后 的 行为 ; 
还 可 监视 只 有 管理 员 才 能 实施 的 非 正 常 行为 ; 还 可 审计 能 影响 系统 记录 的 校 验 措 施 的 改变 
以 及 主要 系统 文件 和 可 执行 文件 的 改变 。 系 统 能 够 查 出 那些 欲 改写 重要 系统 文件 或 者 安装 
特洛伊 木马 或 后 门 的 尝试 并 将 它们 中 断 。 

@ 基于 主机 的 IDS 可 以 检测 到 那些 基于 网 络 的 系统 察觉 不 到 的 攻击 。 例 如 ,来 自 网 络 
内 部 的 攻击 可 以 躲 开 基于 网 络 的 人 侵 检测 系统 。 

@ 由 于 基于 主机 的 IDS 系统 安装 在 企业 的 各 种 主机 上 ,它们 更 加 适合 于 交换 的 环境 和 
加 密 的 环境 。 交 换 设 备 可 将 大 型 网 络 分 成 许多 的 小 型 网 络 部 件 加 以 管理 ,所 以 从 覆盖 足够 
大 的 网 络 范围 的 角度 出 发 ,很 难 确定 配置 基于 网 络 的 IDS 的 最 佳 位 置 。 而 基于 主机 的 和 人 侵 
检测 系统 可 安装 在 所 需 的 重要 主机 上 ,在 交换 的 环境 中 具有 更 高 的 能 见 度 。 由 于 加 密 方式 
位 于 协议 堆栈 内 ,所 以 基于 网 络 的 IDS 可 能 对 某 些 攻击 没有 反应 ,基于 主机 的 IDS 没有 这 
方面 的 限制 。 

@ 检测 和 响应 速度 接近 实时 。 尽 管 基于 主机 的 入 侵 检 测 系统 不 能 提供 真正 实时 的 反 


人 
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应 ,但 如 果 措 施 得 当 其 反应 速度 可 以 非常 接近 实时 。 
@ 花费 更 加 低廉 。 


10.2.2 基于 网 络 的 入 侵 检测 系统 


在 计算 机 网 络 系统 中 ,局 域 网 普遍 采用 的 是 基于 广播 机 制 的 以 太 网 (Ethernet) 协 议 。 
该 协议 保证 传输 的 数据 包 能 被 同一 局 域 网 内 的 所 有 主机 接收 。 基 于 网 络 的 入 侵 检测 就 是 利 
用 以 太 网 这 一 特性 ,通过 在 共享 网 段 上 对 通信 数据 进行 侦 听 来 采集 数据 ,分 析 可 能 的 入侵 。 
以 太 网 卡通 常 有 正常 模式 (Normal Mode) 和 杂 收 模式 (Promiscuous Mode) 两 种 工作 模式 。 
在 正常 模式 下 ,网 卡 每 接收 到 一 个 到 达 的 数据 包 , 就 会 检查 该 数据 包 的 目的 地 址 ,如 果 是 本 
机 地 址 或 广播 地 址 , 则 将 数据 包 放 入 接收 缓冲 区 ; 若是 其 他 目的 地 址 的 数据 , 则 直接 丢弃 。 
因此 ,在 正常 模式 下 ,主机 仅 处 理 以 本 机 为 目标 的 数据 包 。 在 杂 收 模式 下 ,网 卡 可 以 接收 本 
网 段 内 传输 的 所 有 数据 包 , 无 论 这 些 数据 包 的 日 的 地 址 是 否 为 本 机 。 基 于 网 络 的 入 侵 检 测 
系统 利用 网 卡 的 杂 收 模式 ,获得 经 过 本 网 段 的 所 有 数据 信息 ,从 而 实现 获取 网 络 数据 的 功 
能 。 另 外 ,因为 不 同 操作 系统 的 数据 链 路 访问 不 一 样 , 所 以 根据 不 同 的 操作 系统 提供 不 同 的 
数据 链 路 访问 的 接口 ,来 获取 网 络 数据 包 。 例 如 网 络 监视 器 (Sniffer) , 它 是 攻击 者 常用 的 收 
集 信息 的 工具 ,也 被 广泛 应 用 在 基于 网 络 的 入 侵 检 测 系统 C(NIDS) 中 进行 网 络 事件 信息 的 
收集 。 

除了 Sniffer 之 外 ,其 他 各 种 网 络 设备 也 可 以 提供 用 于 入 侵 判 别 的 有 用 信息 。 例 如 ,网 
络 管理 系统 可 以 对 网 络 性 能 和 使 用 状况 进行 统计 。 防 火 墙 的 审计 信息 也 常 成 为 网 络 人 侵 检 
测 系统 的 重要 辅助 信息 ,常常 可 以 用 来 分 析 入 侵 的 类 型 。 

基于 网 络 的 IDS 有 如 下 优点 : 

Q@ 能 检测 基于 主机 的 系统 漏 掉 的 攻击 。 基 于 网 络 的 IDS 检查 所 有 数据 包 的 头 部 从 而 
发 现 恶 意 的 和 可 疑 的 行动 迹象 。 基 于 主机 的 IDS 无 法 查看 数据 包 的 头 部 ,所 以 它 无 法 检测 
到 这 一 类 型 的 攻击 。 例 如 ,许多 来 自 于 IP 地 址 的 拒绝 服务 型 攻击 (Denial of Service, DoS) 
只 能 在 它们 经 过 网 络 时 ,检查 包 的 头 部 才能 被 发 现 。 

@ 攻击 者 不 易 转移 证 据 一 一 因为 基于 网 络 的 IDS 实时 地 检测 网 络 通信 ,所 以 攻击 者 无 
法 转移 证 据 。 被 捕获 的 数据 不 仅 包 括 攻击 的 方法 ,而 且 还 包括 可 识别 黑客 身份 和 对 其 进行 
起 诉 的 信息 。 

@ 实时 检测 和 响应 。 基 于 网 络 的 IDS 可 以 在 恶意 及 可 疑 的 攻击 发 生 的 同时 将 其 检测 
出 来 ,并 做 出 更 快 的 通知 和 响应 。 例 如 ,一 个 基于 TCP 的 对 网 络 进行 的 拒绝 服务 攻击 
(DoS) 可 以 通过 将 基于 网 络 的 IDS 发 出 TCP 复位 信号 ,在 该 攻击 对 目标 主机 造成 破坏 前 将 
其 中 断 。 而 基于 主机 的 IDS 只 有 在 可 疑 的 登录 信息 被 记录 下 来 以 后 才能 识别 攻击 并 做 出 
反应 。 而 这 时 关键 系统 可 能 早 就 遭 到 了 破坏 ,或 是 运行 基于 主机 的 IDS 已 被 摧毁 。 实 时 响 
应 是 可 根据 预定 义 的 参数 做 出 快速 反应 ,这 些 反应 包括 将 攻击 设 为 监视 模式 以 收集 信息 、 立 
即 中 止 攻击 等 。 

@ 检测 未 成 功 的 攻击 和 不 良 意图 一 一 基于 网 络 的 IDS 增加 了 许多 有 价值 的 数据 ,以 判 
别 不 良 意图 。 即 便 防火 墙 可 以 正在 拒绝 这 些 尝试 ,位 于 防火 墙 之 外 的 基于 网 络 的 IDS 可 以 
查 出 躲 在 防火 墙 后 的 攻击 意图 。 基 于 主机 的 IDS 无 法 查 到 从 未 攻击 到 防火 墙 内 主机 的 未 
遂 攻 击 ,而 这 些 丢 失 的 信息 对 于 评估 和 优化 安全 策略 是 至 关 重 要 的 。 
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10.2.3 分 布 式 入 侵 检测 系统 


虽然 人 侵 检测 系统 减轻 了 网 络 安全 管理 人 员 的 压力 ,有 效 地 弥补 了 防火 墙 的 缺陷 ,但 传 
统 的 IDS 普遍 存在 一 些 有 待 克服 的 问题 。 

Q@ 系统 的 弱点 或 漏洞 分 散在 网 络 中 各 个 主机 上 .这些 弱点 有 可 能 被 入侵 者 一 起 用 来 攻 
击 网 络 ,而 仅 依靠 HIDS 或 NIDS 不 能 发 现 更 多 的 人 侵 行为 。 

@ 现在 的 入 侵 行为 表现 出 相互 协作 入 侵 的 特点 ,例如 分 布 式 拒绝 服务 攻击 (DDoS) 。 

@ 入 侵 检测 所 需要 的 数据 来 源 分 散 化 ,收集 原始 的 检测 数据 变 得 困难 ,如 交换 型 网 络 
使 得 监听 网 络 数据 包 受到 限制 。 

@ 由 于 网 络 传输 速度 加 快 ,网 络 流量 不 断 增 大 ,所 以 集中 处 理 原始 数据 的 方式 往往 造 
成 检测 的 实时 性 和 有 效 性 大 打折 扣 。 

为 了 解决 这 些 问 题 , 便 产生 了 分 布 式 人 侵 检测 系统 (DIDS)。DIDS 综合 了 基于 主机 和 
基于 网 络 的 IDS 的 功能 。DIDS 的 分 布 性 表现 在 两 个 方面 : 首先 数据 包 过 滤 的 工作 由 分 布 
在 各 网 络 设备 (包括 联网 主机 ) 上 的 探测 代理 完成 ; 其 次 探测 代理 认为 可 疑 的 数据 包 将 根据 
其 类 型 交 给 专用 的 分 析 层 设备 处 理 。 各 探测 代理 不 仅 实现 信息 过 滤 , 同 时 对 所 在 系统 进行 
监视 ; 而 分 析 层 和 管理 层 则 可 对 全 局 的 信息 进行 关联 性 分 析 。 这 样 对 网 络 信 息 进行 分 流 ， 
既 可 以 提高 检测 速度 ,解决 检测 效率 低 的 问题 ,又 增强 了 DIDS 本 身 抗击 拒绝 服务 攻击 的 
能 力 。 

DIDS 由 主机 代理 (Host Agent) 、 局 域 网 代理 (LAN Agent) 和 控制 器 (DIDS Director) 
三 大 部 分 组 成 ,如 图 10.4 所 示 。 主 机 代理 负责 监测 某 台 主机 的 安全 ,依据 搜集 到 这 台 主 机 
活动 的 信息 产生 主机 安全 事件 ,并 将 这 些 安全 事件 传送 到 控制 器 。 同 样 ,LAN 代理 监测 局 
域 网 的 安全 ,依据 搜集 到 的 网 络 数据 包 信息 产生 局 域 网 安全 事件 ,也 把 这 些 局 域 网 安全 事件 
传 给 控制 器 。 控 制 器 根据 安全 专家 的 知识 、 


DIDS 控 制 器 
主机 安全 事件 和 网 络 安全 事件 进行 人 侵 检测 上 
推理 分 析 ,最 后 得 出 整个 网 络 的 安全 状态 结 主机 代理 LAN 代 理 
论 。 主 机 代理 并 不 是 安装 在 LAN 中 的 所 有 ”| 主机 事件 发 生 器 LAN 事 件 发 生 器 
主机 上 ,而 是 按照 特定 的 安全 需求 做 出 决定 。 主机 监视 器 LAN 监 视 器 ”| DIDS 
i DIDS 与 安全 管理 人 员 的 用 图 10.4 ”DIDS 结构 框图 


10.3 人 侵 检测 系统 分 析 技 术 


根据 分 析 引 擎 所 采用 的 技术 ,可 以 将 入 侵 检 测 技术 分 为 异常 检测 (Anomaly Detection) 
技术 和 误 用 检测 (Misuse Detection) 技 术 两 大 类 。 异 常 检测 提取 正常 模式 审计 数据 的 数学 
特征 ,检查 事件 数据 中 是 否 存在 与 之 相 违背 的 异常 模式 。 误 用 检测 则 搜索 审计 事件 数据 , 查 
看 其 中 是 否 存在 预先 定义 的 误 用 模式 。 
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10.3.1 异常 检测 技术 


异常 检测 是 目前 入 侵 检测 系统 研究 的 重点 ,其 特点 是 通过 对 系统 异常 行为 的 检测 ,可 以 
发 现 未 知 的 攻击 模式 。 异 常 检测 的 关键 问题 在 于 正常 使 用 模式 (Normal Usage Profile) 的 
建立 以 及 如 何 利 用 该 模式 对 当前 的 系统 /用 户 行为 进行 比较 ,从 而 判断 出 与 正常 模式 的 偏离 
程度 。“ 模 式 ”(Profile) 通 常 由 一 组 系统 的 参量 (Metrics) 来 定义 。 所 谓 Metrics, 是 指 系 统 / 
用 户 行为 在 特定 方面 的 衡量 标准 。 每 个 参量 都 对 应 于 一 个 门限 值 (Threshold) 或 对 应 于 一 
个 变化 区 间 。 就 像 我 们 可 以 用 “体温 ”这 个 Metrics 来 衡量 人 体 是 否 异 常 一 样 。 

异常 检测 基于 这 样 一 个 假设 : 无 论 是 程序 的 执行 还 是 用 户 的 行为 ,在 系统 特征 上 都 呈 
现 出 紧密 的 相关 性 。 例 如 , 某 些 特权 程序 总 是 访问 特定 目录 下 的 系统 文件 ,而 程序 员 则 经 常 
编辑 和 编译 C 语言 程序 ,其 正常 活动 与 一 个 打字 员 的 正常 活动 肯定 不 同 。 这 样 ,根据 各 自 
不 同 的 正常 活动 建立 起 来 的 模式 (Profile) 便 具有 用 户 特 性 。 入 侵 者 即使 使 用 正常 用 户 的 账 
号 ,其 行为 并 不 会 与 正常 用 户 的 行为 相 吻合 ,因而 可 以 被 检测 出 来 。 但 事实 上 入 侵 活动 集合 
并 不 等 于 异常 活动 集合 ,因此 异常 检测 可 能 造成 如 下 一 些 情况 。 

@ 将 不 是 入 侵 的 异常 活动 标识 为 人 侵 , 称 为 伪 肯 定 (False Positives) ,造成 假 报警 。 

@ 将 入侵 活动 误 以 为 正常 活动 , 称 为 伪 和 否定 (False Negatives) ,造成 漏 判 ,其 严重 性 比 
第 一 种 情况 高 得 多 。 

常用 的 异常 检测 方法 有 统计 异常 检测 .基于 神经 网 络 的 异常 检测 .基于 数据 挖掘 的 异常 
检测 等 。 

(1) 统计 异常 检测 

统计 异常 检测 方法 根据 异常 检测 器 观察 主体 的 活动 ,利用 统计 分 析 技 术 基 于 历史 数据 
建立 模式 (Profile) ,这 些 用 在 模式 中 的 数据 仅 包括 与 正常 活动 相关 的 数据 ,然后 模式 被 周期 
性 地 更 新 ,以 反映 系统 随时 间 的 变化 。 统 计 方 法 的 假定 是 模式 能 正确 地 反映 系统 的 正常 活 
动 且 数 据 是 纯净 的 。 模 式 反映 了 系统 的 长 期 的 统计 特征 ,如 果 训 练 数据 被 正确 选择 ,这 些 特 
征 则 被 认为 是 稳定 的 ,这 也 意味 着 不 需要 频繁 地 进行 模式 的 更 新 。 

设 Mi ,Mi，,…,M, 为 Profile 的 特征 参量 ,这 些 参量 可 以 是 CPU、I/O 和 邮件 的 使 用 、 文 
件 访问 数量 以 及 网 络 会 话 时 间 等 。 用 Si ,S;,…,S, 分 别 表示 轮廓 中 参量 Mi ,M: ,…,M 的 
异常 测量 值 。 这 些 值 表明 了 异常 程度 , 若 S; 的 值 越 高 , 则 表示 Mi; 的 异常 性 越 大 。 将 这 些 异 
常 测量 值 平方 后 加 权 计 算得 出 轮廓 异常 值 。 

aSi 十 azS 十 … 十 anS2，aw 二 0 
这 里 w 表示 轮廓 与 参量 M; 相关 的 权重 。 一 般 而 言 ,参量 Mi ,Ms ,…,M, 不 是 相互 独立 的 ， 
需要 有 更 复杂 的 函数 处 理 其 相关 性 。 

如 果 Profile 的 异常 值 超 过 了 一 定 的 门限 值 (Threshold) ,就 可 认为 是 发 现 了 异常 ,从 而 
报警 。 

统计 异常 检测 方法 具有 一 定 的 优势 。 使 用 该 方法 可 以 揭示 某 些 我 们 感 兴趣 的 ,可疑 的 
活动 ,从 而 发 现 违背 安全 策略 的 行为 ; 男 外 在 维护 上 比较 方便 ,不 像 误 用 检测 系统 那样 需要 
对 规则 库 不 断 地 更 新 和 维护 。 

统计 方法 也 存在 一 些 明显 的 缺陷 。 首 先 , 使 用 统计 方法 的 大 多 数 系统 是 以 批 处 理 的 方 
式 对 审计 记录 进行 分 析 的 , 它 不 能 提供 对 入 侵 行 为 的 实时 检测 和 自动 响应 的 功能 。 另 外 , 统 
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计 方 法 的 特性 导致 了 它 不 能 反映 事件 在 时 间 顺 序 上 的 前 后 相关 性 ,因此 事件 发 生 的 顺序 通 
常 不 作为 分 析 引 擎 所 考察 的 系统 属性 。 然 而 ,许多 预示 着 入 侵 行为 的 系统 异常 都 依赖 于 事 
件 的 发 生 顺 序 ,在 这 种 情况 下 ,使 用 统计 方法 进行 异常 检测 就 有 了 很 大 的 局 限 性 。 最 后 ,如 
何 确 定 合适 的 门限 值 也 是 统计 方法 所 面临 的 棘手 问题 。 门 限 值 如 果 选 择 的 不 恰当 ,就 会 导 
致 系统 出 现 大 量 的 错误 报警 。 

(2) 基于 神经 网 络 的 异常 检测 

人 工 神 经 网 络 (NN) 模 型 主要 是 模仿 生物 神经 系统 ,采用 自 适应 学 习 技 术 来 标记 异常 
行为 。 它 通过 接收 外 部 输入 的 刺激 ,不 断 获得 并 积累 知识 ,进而 具有 一 定 的 判断 预测 能 力 。 
尽管 神经 网 络 模型 的 种 类 很 多 ,但 其 基本 模式 都 是 由 大 量 简单 的 计算 单元 (又 称 为 结 点 或 神 
经 元 ) 相 互 连 接 而 构成 的 一 种 并 行 分 布 处 理 网 络 。 基 于 神经 信息 传输 的 原理 , 结 点 之 间 以 一 
定 的 权 值 进行 连接 ,每 个 结 点 对 N 个 加 权 的 输入 求 和 , 当 求 和 值 超过 某 个 阔 值 时 , 结 点 成 
“兴奋 ”状态 ,有 信号 输出 。 结 点 的 特征 由 其 阔 值 . 非 线 性 函数 的 类 型 所 决定 ,而 整个 神经 网 
络 则 由 网 络 拓扑 、 结 点 特征 以 及 对 其 进行 训练 所 使 用 的 规则 所 决定 。 

将 神经 网 络 用 于 异常 检测 ,其 方法 主要 是 通过 训练 神经 网 络 , 使 之 能 在 给 定 前 个 动作 
或 命令 的 前 提 下 预测 出 用 户 下 一 个 动作 或 命令 。 网 络 经 过 对 用 户 常用 的 命令 集 进行 一 段 时 
间 的 训练 后 便 可 以 根据 已 存在 网 络 中 的 用 户 特征 文件 来 匹配 真实 的 动作 或 命令 。 

神经 网 络 有 多 种 模型 ,在 入 侵 检 测 系统 中 ， 
一 般 采 用 前 向 神经 网 络 ,并 采用 逆向 传播 法 
(Back Propagation, BP) 对 检测 模型 进行 训练 。 
基于 神经 网 络 的 人 侵 检测 模型 如 图 10. 5 所 示 。 

此 模型 有 一 个 输入 层 ,接受 二 进 制 输入 信 输入 层 隐 含 层 输出 层 
号 。 这 些 二 进 制 输入 信号 对 应 于 已 经 保存 在 信 
息 库 中 的 相关 事件 。 神 经 网 络 的 输出 层 用 来 指 
示 可 能 的 人 侵 。 它 根据 问题 相关 事件 的 数量 ,规则 数量 和 入 侵 行为 的 数量 等 ,确定 模型 中 需 
要 多 少 个 隐 含 层 , 隐 含 层 神经 元 的 数目 则 取决 于 训练 用 的 样本 数 以 及 经 验 积累 。 神 经 网 络 
的 每 一 层 由 一 个 或 者 多 个 神经 元 组 成 ,前 一 层 的 输出 作为 后 一 层 的 输入 ,每 层 神经 元 与 其 下 
一 层 的 神经 元 相连 ,并 赋 以 合适 的 权 值 。 

神经 网 络 的 训练 有 两 个 过 程 : 前 向 过 程 和 反 向 过 程 。 前 向 过 程 是 指 对 于 给 定 的 输入 
和 目前 的 权 值 来 估计 神经 网 络 的 输出 值 。 在 反 向 过 程 中 ,将 求 得 的 神经 网 络 输出 值 与 期 
望 输出 值 相 比 较 , 并 将 比较 所 得 差 值 作为 误差 输出 反馈 到 神经 网 络 中 ,以 调整 神经 网 络 
的 权 值 。 

基于 神经 网 络 的 异常 检测 系统 的 优点 是 : 能 够 很 好 地 处 理 噪音 数据 ,对 训练 数据 的 统 
计 分 布 不 做 任何 假定 , 且 不 用 考虑 如 何 选择 特征 参量 的 问题 ,很 容易 适应 新 的 用 户 群 。 

基于 神经 网 络 的 异常 检测 存在 如 下 问题 。 

@ 如 果 命 令 窗 口 ( 即 ”的 大 小 ) 过 小 将 造成 伪 肯 定 , 即 造成 假 报警 。 反 之 ,如 果 命 令 窗 
口 过 大 则 造成 许多 不 相关 的 数据 ,同时 增加 伪 和 否定 的 机 会 , 即 造成 漏 判 。 

@ 神经 网 络 拓扑 结构 只 有 经 过 相当 的 训练 后 才能 确定 下 来 ,不 合适 的 训练 数据 还 将 导 
臻 建立 菲 夷 所 思 的 不 稳定 的 结构 。 

@ 入 侵 者 可 能 在 网 络 学 习 阶 段 训 练 该 网 络 。 


10.5 基于 神经 网 络 的 入 侵 检测 模型 
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(3) 基于 数据 挖掘 的 异常 检测 

基于 数据 挖掘 的 异常 检测 以 数据 为 中 心 ,把 人 侵 检 测 看 成 一 个 数据 分 析 过 程 , 利 用 数据 
挖掘 的 方法 从 审计 数据 或 数据 流 中 提取 出 感 兴趣 的 知识 ,这 些 知识 是 隐 含 的 .事先 未 知 的 潜 
在 有 用 信息 ,提取 的 知识 表示 为 概念 规则、 规律 和 模式 等 形式 ,并 用 这 些 知识 去 检测 异常 人 
侵 和 已 知 的 入侵 。 

数据 挖掘 从 存储 的 大 量 数据 中 识别 出 有 效 的 、 新 的 .具有 潜在 用 途 及 最 终 可 以 理解 的 知 
识 。 数 据 挖掘 算法 多 种 多 样 ,目前 主要 有 以 下 几 种 。 

@ 分 类 算法 , 它 将 一 个 数据 集合 映射 成 预先 定义 好 的 若干 类 别 。 这 类 算法 的 输出 结果 
就 是 分 类 器 , 它 可 以 用 规则 集 或 决策 树 的 形式 表示 。 利 用 该 算法 进行 人 侵 检 测 的 方法 是 首 
先 收集 有 关 用 户 或 应 用 程序 的 “正常 "和 “ 非 正常 ”的 审计 数据 ,然后 应 用 分 类 算法 得 到 规则 
集 ,并 使 用 这 些 规则 集 来 预测 新 的 审计 数据 是 属于 正常 还 是 异常 行为 。 

@ 关联 分 析 算 法 , 它 决 定数 据 库 记录 中 各 数据 项 之 间 的 关系 ,利用 审计 数据 中 各 数据 
项 之 间 的 关系 作为 构造 用 户 正 常 使 用 模式 的 基础 。 

G@) 序列 分 析 算 法 , 它 获取 数据 库 记 录 在 事件 窗口 中 的 关系 ,试图 发 现 审计 数据 中 的 一 
些 经 常 以 某 种 规律 出 现 的 事件 序列 模式 ,这些 频繁 发 生 的 事件 序列 模式 有 助 于 在 构造 人 侵 
检测 模型 时 选择 有 效 的 统计 特征 。 

其 他 的 异常 检测 方法 还 包括 基于 贝 叶 斯 网 络 的 异常 检测 .基于 模式 预测 的 异常 检测 、 基 
于 机 器 学 习 的 异常 检测 等 。 


10.3.2 误 用 检测 技术 


误 用 检测 (Misuse Detection) 是 指 根据 已 知 的 人 侵 模 式 来 检测 入 侵 。 入 侵 者 常常 利用 
系统 和 应 用 软件 中 的 弱点 进行 攻击 ,而 这 些 弱 点 易 组 织 成 某 种 模式 ,如 果 入 侵 者 攻击 方式 恰 
好 与 检测 系统 模式 库 中 的 模式 匹配 , 则 入 侵 者 被 检测 到 。 显 然 , 误 用 入 侵 检 测 依赖 于 模式 
库 , 如 果 没 有 构造 好 模式 库 ,IDS 就 不 能 检测 到 入 侵 者 。 误 用 检测 将 所 有 攻击 形式 化 存储 在 
人 侵 模式 库 中 。 

(1) 基于 串 匹 配 的 误 用 检测 

基于 串 匹 配 和 人 侵 检 测 系统 最 早 使 用 的 一 种 误 用 检测 技术 。 和 侵 检 测 系统 Snort 采用 的 
技术 是 基于 串 匹 配 技术 的 误 用 检测 方法 。 基 于 串 匹 配 的 入 侵 检 测 方法 具有 原理 简单 .扩展 
性 好 、 检 测 效率 高 和 实时 性 好 等 优点 ,但 只 适用 于 比较 简单 的 攻击 方式 ,并 且 误 警 率 较 高 。 

(2) 基于 专家 系统 的 误 用 检测 

基于 专家 系统 的 误 用 检测 方法 利用 专家 系统 存储 已 有 的 知识 (攻击 模式 ) ,通常 是 以 让 then 
的 语法 形式 表示 的 一 组 规则 和 统计 量 ,if 部 分 表示 攻击 发 生 的 条 件 序列 , 当 这 些 条 件 满足 
时 ,系统 采取 then 部 分 所 指明 的 动作 。 然 后 输入 检测 数据 (审计 事件 记录 ), 系 统 根 据 知识 
库 中 的 内 容 对 检测 数据 进行 评估 ,判断 是 否 存 在 入 侵 行为 模式 。 

利用 专家 系统 进行 检测 的 优点 在 于 对 环境 表现 得 比较 健壮 ,而 且 把 系统 的 推理 控制 过 
程 和 问题 的 最 终 解 答 相 分 离 , 即 用 户 不 需要 理解 或 干预 专家 系统 内 部 的 推理 过 程 。 

但 使 用 专家 系统 进行 人 侵 检 测 时 ,也 存在 以 下 一 些 问题 。 

@ 处 理 海量 数据 时 存在 效率 问题 。 

@ 缺乏 处 理 序列 数据 的 能 力 . 即 缺 乏 分 析 数 据 前 后 的 相关 性 问题 。 
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@ 专家 系统 的 性 能 完全 取决 于 设计 者 的 知识 和 技能 , 且 规 则 必须 被 人 工 创建 。 

@ 无 法 处 理 判 断 的 不 确定 性 。 

@@ 规则 库 的 维护 同样 是 一 项 艰巨 的 任务 ,更 改 规则 时 必须 考虑 到 对 知识 库 中 其 他 规则 
的 影响 。 

(3) 基于 状态 转换 分 析 的 误 用 检测 

基于 状态 转换 分 析 的 误 用 检测 工作 的 基础 是 状态 转换 图 (State Transition Diagrams) 
或 表 , 即 使 用 状态 转移 图 来 表示 和 检测 已 知 攻击 模式 。 状 态 转 换 图 用 来 表示 一 个 事件 序列 ， 
状态 转移 图 中 的 结 点 (Node) 表 示 系 统 的 状态 , 弧 线 代表 每 一 次 状态 的 转变 。 该 方法 来 源 于 
一 个 事实 , 即 所 有 人 侵 者 都 是 从 某 一 受 限 的 特权 程序 开始 逐步 提升 自身 的 权限 来 探测 系统 
的 脆弱 性 ,以 获得 结果 。 

利用 状态 转换 图 检测 人 侵 的 过 程 如 下 : 在 任 一 时 刻 , 当 一 定数 量 的 入 侵 模式 与 审计 日 
志 部 分 匹配 时 ,一 些 特征 动作 已 经 使 得 检测 系统 到 达 各 自 状 态 转换 图 中 的 某 些 状态 。 如 果 
某 一 状态 转换 图 到 达 了 终止 状态 , 则 表示 该 人 侵 模式 已 经 成 功 匹 配 。 和 否则 ,当下 一 个 特征 动 
作 到 来 时 ,推理 引擎 能 把 当前 状态 转变 成 满足 断言 条 件 的 下 一 状态 。 如 果 当 前 状态 的 断言 
条 件 不 能 满足 , 则 状态 转换 图 会 从 当前 状态 转换 到 最 近 的 能 满足 断言 条 件 的 状态 。 

基于 状态 转换 分 析 的 入 侵 检测 方法 的 一 个 优势 是 状态 转移 图 提供 了 一 种 直观 的 、 高 级 
别 的 .独立 于 审计 数据 格式 的 入侵 表示 ,状态 转换 能 够 表达 包含 人 侵 模 式 特征 动作 的 部 分 顺 
序 , 而 且 它 采用 特征 动作 的 最 小 可 能 子 集 来 检测 入 侵 行为 ,这 样 同一 入 侵 的 多 个 不 同 变种 也 
能 被 检测 出 来 。 

状态 转换 分 析 方 法 的 不 利之 处 是 状态 声明 和 标签 都 是 人 工 编 码 , 这 使 得 它 不 能 检测 到 
标签 库 以 外 的 攻击 。 

(4) 基于 着 色 Petri 网 的 误 用 检测 

着 色 Petri 网 也 是 一 种 基于 状态 的 入侵 检测 方法 ,利用 Petri 网 可 以 描述 各 种 复杂 的 网 
络 事件 。 在 采用 着 色 Petri 网 检测 方法 的 人 侵 检测 模型 中 ,每 个 人 侵 标签 被 表达 为 一 个 模 
式 ,该 模式 表达 事件 和 它们 的 内 容 间 的 关系 。 关 系 模式 准确 的 表达 了 一 个 成 功 的 入 侵 和 其 
企图 。 着 色 Petri 网 图 中 的 顶点 表示 系统 状态 ,入 侵 模 式 有 一 个 前 提 条 件 及 关联 于 它们 的 
其 下 的 行为 。 整 个 特征 匹配 过 程 由 标记 (Token) 的 动作 构成 ,标记 在 审计 记录 的 驱动 下 ,从 
初始 状态 向 最 终 状 态 ( 标 识 入 侵 发 生 的 状态 ) 逐 步 前 进 。 处 于 不 同 状态 时 ,标记 的 颜色 用 来 
代表 事件 所 处 的 系统 环境 (Context) 。 当 标记 出 现 某 种 特定 的 颜色 时 ,预示 着 目前 的 系统 环 
境 满足 了 特征 匹配 的 条 件 , 此 时 就 可 以 采取 相应 的 响应 动作 。 

基于 着 色 Petri 网 的 入侵 检 测 方法 的 主要 优点 有 是 模式 独立 于 任何 基础 匹配 的 计算 框 
架 ,并 提供 一 个 模型 ,其 中 分 类 中 的 所 有 策略 都 被 表达 和 匹配 , 它 可 被 快速 和 方便 地 设计 , 事 
件 序列 可 被 直接 表达 。 

基于 着 色 Petri 网 的 入 侵 检 测 系 统 的 缺陷 是 尽管 在 定义 入 侵 特 征 时 可 以 尽 可 能 的 通用 
化 ,但 系统 对 于 检测 未 知 的 攻击 仍然 无 能 为 力 。 

当前 研究 中 还 有 一 些 其 他 检测 技术 ,比如 基于 生物 免疫 的 和 人 侵 检测 .遗传 算法 、 基 于 代 
理 的 人 侵 检测 、 隐 马尔 可 夫 模 型 等 。 

综 上 所 述 , 在 Internet 应 用 日 益 普 及 访问 手段 多 样 化 的 今天 ,各 种 攻击 手段 层出不穷 ， 
入 侵 检测 系统 作为 一 种 安全 防范 措施 ,是 防火 墙 的 合理 补充 , 它 帮 助 系统 对 付 网 络 攻击 , 扩 
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展 了 系统 管理 员 的 安全 管理 能 力 (包括 安全 审计 监视 .进攻 识别 和 响应 ) ,提高 了 信息 安全 
基础 结构 的 完整 性 。 采 用 入 侵 检测 系统 是 预警 ,监控 ` 处 置 网 络 攻 击 的 有 效 方法 。 


10.4 关键 术语 


入 侵 检 测 (Intrusion Detection) 
基于 主机 的 和 人 侵 检测 系统 (HIDS) 
基于 网 络 的 入 侵 检 测 系统 (NIDS) 
分 布 式 人 侵 检 测 系 统 (DIDS) 
异常 检测 (Anomaly Detection) 
误 用 检测 (Misuse Detection) 


10.5 习 题 
10.1 什么 叫 入 侵 检 测 ? 
10.2 一 个 人 侵 检 测 系 统 (IDS) 通 常 由 哪 几 个 部 分 组 成 ? 
10.3 根据 数据 源 的 不 同 ,入 侵 检 测 系 统 可 分 为 哪 几 类 ? 各 有 何 特点 ? 
10.4 比较 异常 检测 和 误 用 检测 方法 的 异同 。 
10.5 基于 数据 挖掘 的 异常 检测 方法 的 思想 是 什么 ? 
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9787302146902 信号 与 系统 (第 二 版 ) 34. 00 
9787302160670 电子 技术 34. 00 


以 上 教材 样 书 可 以 免费 赠送 给 授课 教师 ,如 果 需 要 ,请 发 电子 邮件 与 我 们 联系 。 


教学 资源 支持 


敬爱 的 教师 : 

感谢 您 一 直 以 来 对 清华 版 计算 机 教材 的 支持 和 爱护 。 为 了 配合 本 课程 的 教学 需要 ,本 
教材 配 有 配套 的 电子 教案 (素材 ) ,有 需求 的 教师 可 以 与 我 们 联系 ,我 们 将 向 使 用 本 教材 进行 
教学 的 教师 免费 赠送 电子 教案 (素材 ) ,希望 有 助 于 教学 活动 的 开展 。 

相关 信息 请 拨打 电话 010-62776969 或 发 送 电 子 邮 件 至 weij@tup. tsinghua. edu. cn 咨 
询 , 也 可 以 到 清华 大 学 出 版 社 主 页 (http://www. tup. com. cn 或 http://www. tup. 
tsinghua. edu. cn) 上 查询 和 下 载 。 

如 果 您 在 使 用 本 教材 的 过 程 中 过 到 了 什么 问题 ,或 者 有 相关 教材 出 版 计划 ,也 请 您 发 邮 
件 或 来 信 告 诉 我 们 ,以便 我 们 更 好 为 您 服务 。 

地 址 : 北京 市 海淀 区 双 清 路 学 研 大 厦 A 座 708 室 计算 机 与 信息 分 社 魏 江 江 收 

邮编 : 100084 电子 邮件 : weijj@tup. tsinghua. edu. cn 

电话 : 010-62770175-4604 邮购 电话 : 010-62786544 


已 出 版 教材 


ISBN 
ISBN : 
ISBN : 
ISBN : 
ISBN : 
ISBN : 
ISBN : 
ISBN 


ISBN 


9787302115816 
9787302124412 
9787302135074 
9787302140962 
9787302129066 
9787302141006 
9787302130666 
9787302137801 


: 9787302132042 
ISBN: 
ISBN: 
ISBN: 
ISBN: 
ISBN: 
ISBN: 


9787302143338 
9787302160694 
9787302167327 
9787302167334 
9787302168119 
9787302170655 


即将 出 版 教材 


数据 结构 (C 语言 版 )( 魏 开平 “等 编著 ) 
数据 结构 教学 辅导 与 实验 ( 魏 开 平 “” 等 编著 ) 
操作 系统 原理 ( 叶 俊 民 编著) 

软件 体系 结构 教程 ( 叶 俊民 编著) 

非 线 性 编辑 原理 与 技术 ( 左 明 章 ”等 编著 ) 
多 媒体 技术 原理 与 应 用 ( 刘 清 堂 ” 等 编著 ) 
单片机 原理 及 接口 技术 ( 彭 文 辉 ” 等 编著 ) 
计算 机 组 成 原理 ( 陈 利 


高 等 学 校 教材 系列 


C 语言 程序 设计 教程 ( 王 敬 华 ” 等 编著) 

C 语言 程序 设计 教程 习题 解答 与 实验 指导 ( 王 敬 华 ” 等 编著 ) 
C++ 语言 程序 设计 教程 ( 杨 进 才 等 编著 ) 

C++ 语言 程序 设计 教程 习题 解答 与 实验 指导 ( 杨 进 才 ”等 编著 ) 
软件 工程 ( 叶 俊民 编著) 

人 工 智能 教程 ( 金 聪 ”等 编著 ) 

离散 数学 ( 李 俊 锋 ”等 编著 ) 

计算 机 控制 一 一 基于 MATLAB 实现 ( 肖 诗 松 ”等 编著 ) 
数字 信号 处 理 一 一 原理 与 算法 实现 ( 刘 明 等 编著 ) 

计算 机 网 络 技 术 及 应 用 教程 ( 杨 青 ”等 编著 ) 

大 学 计算 机 基础 教程 ( 杨 青 ”等 编著 ) 

微机 组 成 与 组 装 技术 及 应 用 教程 ( 崔 建 群 ”等 编著 ) 

高 级 语言 程序 设计 与 应 用 教程 ( 陈 静 ”等 编著 ) 

数字 媒体 技术 导论 ( 刘 清 堂 ” 等 编著 ) 

信息 工程 科技 英语 导论 ( 瞿 少 成 ”等 编著 ) 


等 编著 ) 


更 详细 的 教材 介绍 请 登录 清华 大 学 出 版 社 网 站 http://www. tup. com. cn 查询 。 
联系 人 : 魏 江 江 E-mail: weijj@tup. tsinghua. edu. cn 电话 : 010-62770175-4604 


